Medidas de Seguridad

Todas las comunicaciones entre tu navegador y nuestros servidores están cifradas mediante TLS 1.3. Los datos almacenados en nuestra base de datos (PostgreSQL gestionado por Supabase) se cifran en reposo con AES-256. Las contraseñas se almacenan con hash bcrypt y salt por usuario — nunca en texto plano.

El acceso a la plataforma requiere autenticación mediante email+contraseña o proveedores OAuth verificados (Google). Las sesiones tienen expiración automática y pueden invalidarse remotamente. El personal técnico opera bajo el principio de mínimo privilegio: solo las personas estrictamente necesarias acceden a datos personales, con trazabilidad completa.

Toda acción relevante sobre datos personales (alta, baja, rectificación, acceso a información sensible, operaciones administrativas) queda registrada de forma inmutable. Las direcciones IP nunca se almacenan en claro: se aplica hash SHA-256 con salt y truncado a 16 caracteres, lo que permite detectar patrones de abuso sin poder identificar al titular.

Solo recogemos los datos estrictamente necesarios para prestar el servicio. No almacenamos IPs en claro, no aplicamos fingerprinting invasivo del dispositivo y no rastreamos comportamientos fuera de nuestra plataforma. En las cookies analíticas, la IP se anonimiza en origen.

Aplicamos políticas automatizadas de retención:

• Citas canceladas: los datos sensibles (mensaje, teléfono, notas internas) se eliminan a los 12 meses, preservando solo los datos agregados necesarios para estadísticas anónimas.
• Registros de actividad generales: 2 años.
• Registros financieros y de ejercicio de derechos: 6 años (obligación fiscal y legal).
• Cuentas inactivas: tras 3 años sin actividad, la cuenta se pseudonimiza automáticamente (consultar sección 8).

La base de datos se respalda automáticamente a diario mediante Supabase, con Point-in-Time Recovery (PITR) de 7 días. Los backups están cifrados en reposo y la capacidad de restauración se verifica periódicamente.

Mantenemos un procedimiento formal de respuesta ante brechas de seguridad. Si se detectase una brecha que pudiera suponer un riesgo para los derechos y libertades de los usuarios, la notificaríamos a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas (artículo 33 RGPD) y a las personas afectadas cuando proceda (artículo 34 RGPD).

Al solicitar la eliminación de tu cuenta (artículo 17 RGPD), aplicamos un proceso de pseudonimización: tu email se sustituye por un identificador anónimo, se anulan todos los campos identificativos (nombre, teléfono, ciudad, etc.) y se invalidan tus sesiones activas. Las reseñas publicadas se conservan sin tu identidad por interés legítimo de otros usuarios (artículo 17.3 RGPD).

Las dependencias de software se auditan automáticamente en cada despliegue. Los parches de seguridad críticos se aplican con la máxima prioridad. Revisamos periódicamente las prácticas de nuestros proveedores (ver Encargados del tratamiento).

Si detectas una posible vulnerabilidad o tienes una preocupación relacionada con la seguridad, escríbenos a privacidad@longevitymap.co. Respondemos en un plazo máximo de 72 horas.