Seguridad
Seguridad en Focus·Folio
Manejar plata personal exige cuidado. Esta página describe en concreto cómo cifrá, guardá y aislá Focus·Folio tu información, qué no hacemos jamás, y qué pasa si algo sale mal.
Focus·Folio guarda data financiera personal: ingresos, gastos, deudas, saldos, holdings de cripto. Esa información es sensible — saber cuánto cobrás o cuánto tenés guardado es útil para vos, pero también es objetivo de tercero malintencionado si se filtra. Por eso, antes de meter un solo número en la app, te conviene saber cómo la cuidamos.
La política operativa es simple: solo lo necesario, cifrado fuerte, vos tenés siempre tu data, nunca le pasamos tu información identificable a terceros. Esta página detalla cada uno de esos puntos. La política de privacidad complementaria está en /privacidad.
TLS 1.3 en tránsito
Todo el tráfico hacia y desde Focus·Folio viaja cifrado con TLS 1.3. Sin HTTP plano, sin downgrade. HSTS preload activado.
Contraseñas con bcrypt
Nunca guardamos contraseñas en texto plano. Bcrypt con cost factor 12 o superior — incluso un breach de la base no expone tus credenciales reales.
Cifrado en reposo (AES-256)
La base de datos guarda la información cifrada. Los datos sensibles a nivel de columna usan AES-256-GCM con rotación de claves periódica.
JWT con expiración corta
Las sesiones son tokens JWT con TTL acotado (minutos, no días) y refresh tokens rotativos. Al cerrar sesión, blacklist inmediata.
Export y borrado a un click
Descargás toda tu data en JSON cuando quieras. Si eliminás tu cuenta: soft-delete inmediato + hard-delete a 30 días (incluye backups).
IA con agregados anonimizados
Cuando consultás a la IA, solo recibe promedios y agregados — nunca tu nombre, email, números de cuenta o transacciones individuales identificables.
Lo que NO hacemos
- No pedimos credenciales de tu banco. Ni usuario ni contraseña ni token. Ni en login ni en signup ni nunca.
- No usamos Open Banking ni scraping. No tenemos forma de acceder a tu cuenta del banco aunque quisiéramos. Vos cargás los datos manualmente.
- No vendemos tu data. A ningún tercero, en ningún formato — ni siquiera agregada. Tampoco corremos publicidad encima.
- No entrenamos modelos de IA con tu información. Tu data no entra a ningún dataset de fine-tuning. Cuando la IA analiza tus números, lo hace en una llamada efímera y los datos no se almacenan en el modelo.
- No operamos plata en tu nombre. Focus·Folio no compra ni vende ni mueve fondos. No es broker. No es banco. Solo visualiza y analiza lo que vos cargás.
Auditoría y trazabilidad
Cada operación sensible (creación, modificación o borrado de datos) queda registrada en un audit log con TTL de 90 días que vos podés consultar desde tu propia cuenta. Esto incluye consultas a la IA — sabés exactamente qué se le preguntó y cuándo.
El audit log también protege contra acciones internas: ningún miembro del equipo puede modificar datos de un usuario sin que quede traza visible.
Reportá una vulnerabilidad
Política de responsible disclosure
Si encontraste una vulnerabilidad, escribinos al formulario de contacto describiendo el problema con detalle reproducible. Damos 90 días desde el reporte para arreglar antes de cualquier publicación. Mientras tanto, no la explotes contra datos reales de otros usuarios — y nosotros nos comprometemos a responderte en menos de 5 días hábiles, a fixearla si es real, y a agradecerte públicamente si querés.
Disclaimer honesto sobre la beta
Estamos en beta privada. Eso significa:
- El stack está auditado por el solo founder y colaboradores async, no por una empresa de seguridad externa todavía. Cuando salga a pago, contratamos pentest externo.
- No tenemos certificación ISO 27001 ni SOC 2 todavía. Esas son certificaciones costosas que tienen sentido en otra etapa del producto.
- El uptime no está garantizado durante beta. Hacemos lo razonable, pero puede haber ventanas de mantenimiento o caídas no programadas.
Esto se dice abierto porque preferimos perder un usuario que mentirle.
FAQ · Seguridad
Preguntas frecuentes sobre seguridad
¿Pueden ver mis datos los desarrolladores de Focus·Folio?
No en uso normal. Los datos quedan cifrados en la base. El acceso humano a registros individuales solo ocurre si vos abrís un ticket de soporte y autorizás explícitamente; cualquier consulta queda en el audit log que vos podés revisar desde tu cuenta.
¿Qué pasa si Focus·Folio sufre un breach?
Si llegara a ocurrir un incidente de seguridad, te avisamos en menos de 72 horas (alineado con buenas prácticas internacionales), explicamos qué datos potencialmente se vieron afectados y qué acciones recomendamos tomar. El responsible disclosure inverso aplica también: si vos detectás algo, escribinos primero al canal de contacto y damos 90 días para fix antes de hacerlo público.
¿Por qué no usan Open Banking?
Open Banking en Argentina es incipiente y nos obligaría a pedir credenciales o tokens delegados de tu banco. Preferimos el modelo "vos cargás los datos" porque reduce la superficie de ataque a cero: aunque alguien comprometiera Focus·Folio, no podría tocar tu cuenta bancaria — no hay forma porque no tenemos acceso.
¿Qué hago si pierdo acceso a mi cuenta?
Reset de contraseña vía email funciona como en cualquier servicio. Si perdés acceso al email también, escribinos desde otra dirección con evidencia razonable de que la cuenta es tuya (capturas de transacciones cargadas, mail original de registro, etc.) y validamos manualmente.
¿Mi data se borra si elimino mi cuenta?
Sí. Eliminar tu cuenta dispara un soft-delete inmediato (no podés acceder ni vos ni nadie) y un hard-delete completo a los 30 días (incluye logs, backups y cualquier referencia). El plazo de 30 días existe por si te arrepentís — si nos escribís antes, se restaura.
¿Tienen 2FA?
En roadmap para la fase Plus. Hoy en beta privada confiamos en email + password fuerte + bcrypt. Si te importa especialmente, decinos al pedir acceso y te priorizamos cuando se libere.
¿Listo para probar Focus·Folio?
Sumate a la beta privada. Te escribimos cuando se libere tu cupo.