SEGURIDAD
Tiveko
Última actualización: 11 de febrero de 2026
Tu Seguridad es Nuestra Prioridad
En Tiveko, la protección de los datos de nuestros usuarios es fundamental. Hemos diseñado nuestra infraestructura utilizando proveedores líderes de la industria, cada uno con sus propias certificaciones y estándares de seguridad, para garantizar que tu información esté protegida en cada capa.
Infraestructura y Certificaciones
Procesamiento de Pagos — Stripe
Tiveko utiliza Stripe Connect para el procesamiento de pagos. Nunca almacenamos datos de tarjetas de crédito, números de cuenta bancaria ni información financiera sensible en nuestros servidores.
- PCI DSS Nivel 1: Stripe es un proveedor de servicios certificado PCI DSS Nivel 1, el nivel más alto de certificación en la industria de pagos.
- Tokenización: Los datos de pago son tokenizados por Stripe antes de cualquier procesamiento, asegurando que la información financiera sensible nunca pase por nuestros servidores.
- Pagos directos: A través de Stripe Connect, los fondos van directamente a la cuenta del Organizador. MS Themes no tiene acceso ni custodia de los fondos.
- 3D Secure: Soporte para autenticación reforzada de pagos cuando es requerida por el banco emisor.
- Más información: https://stripe.com/docs/security
Autenticación — Clerk
La gestión de identidad y acceso es operada por Clerk, una plataforma de autenticación de nivel empresarial.
- SOC 2 Tipo II: Clerk ha completado la auditoría SOC 2 Tipo II, que verifica la efectividad operativa de sus controles de seguridad.
- Cifrado de credenciales: Las contraseñas se almacenan utilizando algoritmos de hashing seguros (bcrypt). Clerk nunca almacena contraseñas en texto plano.
- Autenticación multifactor (MFA): Soporte para autenticación de dos factores para una capa adicional de protección.
- Gestión de sesiones: Tokens de sesión seguros con expiración automática y detección de anomalías.
- Proveedores de identidad social: Integración segura con Google y otros proveedores OAuth 2.0.
- Más información: https://clerk.com/docs/security/overview
Base de Datos — Supabase
Todos los datos de la plataforma se almacenan en Supabase, una plataforma de base de datos construida sobre PostgreSQL.
- SOC 2 Tipo II: Supabase ha completado la auditoría SOC 2 Tipo II.
- Cifrado en reposo: Todos los datos almacenados están cifrados mediante AES-256.
- Cifrado en tránsito: Todas las comunicaciones con la base de datos están protegidas mediante TLS 1.2+.
- Backups automáticos: Respaldos diarios automáticos de la base de datos.
- Row Level Security (RLS): Políticas de seguridad a nivel de fila que garantizan que cada Organización solo puede acceder a sus propios datos.
- Aislamiento de datos: Cada Organización opera en un entorno lógicamente aislado dentro de la base de datos.
- Más información: https://supabase.com/docs/guides/platform/security
Hosting y Red — Vercel
La aplicación web está alojada y distribuida a través de Vercel.
- SOC 2 Tipo II: Vercel ha completado la auditoría SOC 2 Tipo II.
- SSL/TLS automático: Todos los dominios servidos por Vercel están protegidos con certificados SSL/TLS gestionados automáticamente.
- Red CDN global: Contenido distribuido a través de una red de distribución global para máxima disponibilidad y rendimiento.
- Protección DDoS: Mitigación automática de ataques de denegación de servicio distribuidos a nivel de red y aplicación.
- Edge Network: Funciones serverless ejecutadas en el edge para mínima latencia y máximo aislamiento.
- Headers de seguridad: HSTS, X-Frame-Options, X-Content-Type-Options y otras cabeceras de seguridad configuradas por defecto.
- Más información: https://vercel.com/docs/security
Correo Electrónico — Resend
Las comunicaciones transaccionales (confirmaciones, boletos, notificaciones) se envían a través de Resend.
- Cifrado TLS: Todos los correos se transmiten mediante conexiones TLS cifradas.
- Autenticación de correo: SPF, DKIM y DMARC configurados para prevenir suplantación de identidad y phishing.
- No almacenamiento de contenido: El contenido de los correos no se retiene después de su entrega.
Eventos Virtuales — Zoom
La integración con Zoom para eventos virtuales utiliza la API oficial de Zoom.
- SOC 2 Tipo II: Zoom ha completado la auditoría SOC 2 Tipo II.
- Cifrado AES-256-GCM: Las reuniones de Zoom están protegidas con cifrado AES-256-GCM.
- Autenticación OAuth 2.0: La conexión entre Tiveko y Zoom utiliza el protocolo estándar OAuth 2.0. No almacenamos credenciales de Zoom.
- Alcance limitado de la integración: Tiveko únicamente accede a la API de Zoom para crear y configurar reuniones. No tiene acceso al audio, video, chat ni grabaciones de las reuniones.
- Más información: https://explore.zoom.us/en/trust/security/
Prácticas de Seguridad de la Aplicación
Control de Acceso
- Roles y permisos: Sistema de roles granular que permite a los Organizadores controlar qué acciones puede realizar cada miembro de su equipo.
- Aislamiento por Organización: Cada Organización es un entorno independiente. Los miembros de una Organización no pueden acceder a los datos de otra.
- Principio de mínimo privilegio: Los usuarios solo tienen acceso a las funcionalidades y datos necesarios para su rol.
Protección de Datos
- Sin almacenamiento de datos financieros: Los datos de pago son procesados exclusivamente por Stripe. Nunca tocan nuestros servidores.
- QR codes dinámicos: Los códigos QR de los boletos se generan en el navegador del usuario al momento de visualizar el boleto. No se almacenan como imágenes en nuestros servidores, eliminando el riesgo de filtración de archivos de QR.
- Logos por URL: Los logotipos de los Organizadores se referencian por URL, no se almacenan en nuestros servidores, minimizando la superficie de almacenamiento de archivos.
- Validación server-side: Todos los inputs son validados en el servidor para prevenir inyecciones y manipulación de datos.
- HTTPS obligatorio: Toda la comunicación entre el navegador del usuario y nuestros servidores está cifrada.
Seguridad del Código
- Dependencias actualizadas: Monitoreo continuo de vulnerabilidades en dependencias a través de alertas automatizadas.
- Variables de entorno: Las claves de API y credenciales se manejan como variables de entorno cifradas, nunca en el código fuente.
- Webhooks verificados: Los webhooks de Stripe se validan con firmas criptográficas para prevenir solicitudes falsificadas.
Cumplimiento Normativo
Tiveko está comprometido con el cumplimiento de las leyes de protección de datos aplicables en las jurisdicciones donde operamos:
| Regulación | Jurisdicción | Estado |
|---|---|---|
| LFPDPPP | México | Cumplimiento activo |
| GDPR | Unión Europea | Cumplimiento activo |
| CCPA/CPRA | California, EE.UU. | Cumplimiento activo |
| LGPD | Brasil | Cumplimiento activo |
| PCI DSS | Global (pagos) | A través de Stripe |
Para más detalles sobre el tratamiento de datos personales, consulte nuestra Política de Privacidad.
Resumen de Certificaciones de Proveedores
| Proveedor | Servicio | SOC 2 Tipo II | PCI DSS | Cifrado en Reposo | Cifrado en Tránsito |
|---|---|---|---|---|---|
| Stripe | Pagos | ✅ | ✅ Nivel 1 | ✅ AES-256 | ✅ TLS 1.2+ |
| Clerk | Autenticación | ✅ | — | ✅ | ✅ TLS 1.2+ |
| Supabase | Base de datos | ✅ | — | ✅ AES-256 | ✅ TLS 1.2+ |
| Vercel | Hosting/CDN | ✅ | — | ✅ | ✅ TLS 1.2+ |
| Zoom | Eventos virtuales | ✅ | — | ✅ AES-256-GCM | ✅ TLS 1.2+ |
| Resend | — | — | ✅ | ✅ TLS |
Reporte de Vulnerabilidades
Si descubres una vulnerabilidad de seguridad en Tiveko, te pedimos que la reportes de manera responsable. Valoramos la colaboración de la comunidad de seguridad para mantener nuestra plataforma segura.
Contacto: soporte@tiveko.com Asunto: "Seguridad — Reporte de Vulnerabilidad"
Nos comprometemos a:
- Confirmar la recepción de tu reporte en un plazo de 48 horas.
- Proporcionar una evaluación inicial en un plazo de 5 días hábiles.
- Mantener comunicación transparente sobre el progreso de la resolución.
- No tomar acciones legales contra investigadores de seguridad que actúen de buena fe y sigan prácticas de divulgación responsable.
Preguntas
Si tienes preguntas sobre nuestras prácticas de seguridad o necesitas información adicional para una evaluación de seguridad, contáctanos en:
Correo electrónico: soporte@tiveko.com Empresa: MS Themes, Inc. Sitio web: www.tiveko.com
Última actualización: 11 de febrero de 2026