Seguridad en Atlyo
Documento en revisión legal
Última actualización . La versión definitiva será provista por nuestro equipo legal antes del lanzamiento público. Para consultas escribinos a info@atlyo-fitness.com.
Resumen ejecutivo
Atlyo opera como un SaaS multi-tenant que maneja datos sensibles de gimnasios y sus alumnos: identidad, asistencia, pagos, facturación. Tratamos la seguridad como parte del producto, no como un anexo. Esta página resume las medidas vigentes — para el detalle contractual ver el DPA y para el cómo ejercer derechos sobre tus datos la Política de Privacidad.
Medidas técnicas
Cifrado
- En tránsito: TLS 1.2+ en toda comunicación entre el navegador, la API y los sub-procesadores. HSTS habilitado.
- En reposo: AES-256 en la base de datos (Neon) y en el storage de archivos (Cloudflare R2).
- Secretos: credenciales y API keys viven en el vault del proveedor de hosting (Vercel env vars), nunca en el repositorio.
Autenticación y control de acceso
- Autenticación: Better-Auth con hashing de contraseñas state-of-the-art y sesiones HTTP-only.
- MFA: autenticación multi-factor TOTP disponible para todos los roles. Recomendada para dueños y entrenadores.
- RBAC granular: permisos por rol y por membership (alumno, entrenador, entrenador independiente, dueño), evaluados en cada server action con un helper
requirePermission()centralizado. - Audit log inmutable: tabla append-only con todas las acciones administrativas. Sin
UPDATEniDELETEdesde la app. - Rate limiting: límites por IP, usuario y negocio para mitigar abuso y enumeración.
Aislamiento multi-tenant
- Modelo single-database con
tenant_idobligatorio en todas las tablas de dominio. - Helper
tenantScoped()de uso obligatorio para toda query — enforcement con lint rule y tests de regresión que verifican que no haya queries cross-tenant accidentales. - Sessions con tenant scope explícito: cambiar de negocio requiere re-autorización.
Medidas organizacionales
- Acceso por necesidad: los miembros del equipo acceden a datos de producción sólo cuando es estrictamente necesario, con trazabilidad por audit log.
- Onboarding y formación: training en seguridad para todo el equipo, incluyendo manejo seguro de credenciales y prevención de phishing.
- Política de dispositivos: equipos del staff con cifrado de disco, MFA mandatorio en cuentas de servicio.
Continuidad operativa
- RPO < 1 hora: PITR (point-in-time recovery) continuo en Neon más dump lógico semanal en R2 con credenciales separadas.
- RTO < 4 horas para escenarios estándar.
- Disaster Recovery Plan documentado internamente con simulacros trimestrales (game days) de los escenarios críticos.
Logging y monitoreo
- Logging estructurado (pino) con
tenant_iden cada línea para facilitar investigación sin leaks cruzados. - Error monitoring con Sentry, separación estricta por entorno y scrubbing de datos sensibles.
- Métricas Prometheus expuestas con bearer token para correlación operativa.
Compliance
- Ley 25.326 (Argentina) y registro ante la AAIP cuando corresponda.
- GDPR (UE) — Standard Contractual Clauses con sub-procesadores fuera del EEE; derechos GDPR auto-servicio en /me/data-export y /me/delete-account.
- AFIP — facturación electrónica conforme a la normativa vigente a través de proveedores certificados.
- SOC 2 Type 1 — en roadmap; Type 2 previsto a partir del Año 2.
Cómo reportar una vulnerabilidad
Si descubrís un problema de seguridad, te pedimos que nos avises antes de hacerlo público para que podamos remediarlo de manera responsable.
- Email: support@atlyo-fitness.com.
- Tiempo de respuesta inicial: menos de 48 horas hábiles.
- Plazo de remediación objetivo: 7 días para vulnerabilidades críticas, 30 días para severidades medias/bajas.
- Safe harbor: no iniciamos acciones legales contra investigadores que actúen de buena fe respetando el alcance y la confidencialidad mientras remediamos.
Programa de Bug Bounty
Estamos diseñando un programa formal de recompensas. Mientras tanto, los reportes confirmados reciben menciones públicas (opcionales) y, según severidad, compensaciones discrecionales.
Contacto
Seguridad: support@atlyo-fitness.com. Privacidad: info@atlyo-fitness.com. General: /contact.

