Voilatier procesa información sensible: teléfono, email, hábitos de compra. La arquitectura está diseñada para que tú y tus clientes confíen en cada interacción.
Teléfono y email se guardan cifrados con AES-256 vía Laravel Crypt. En paralelo guardamos un hash HMAC-SHA256 para identificar duplicados sin descifrar masivamente. Toda conexión web exige TLS 1.2 o superior.
point_movements y stamp_movements son append-only: una vez insertada una fila, el modelo lanza una excepción si algo intenta hacerle UPDATE o DELETE. Las correcciones se hacen con filas compensatorias (refund, chargeback), preservando la historia completa.
Cada cambio relevante en el panel queda registrado vía Spatie ActivityLog con user_id, timestamp e IP. Las claves API y los ajustes manuales de puntos tienen su propia bitácora separada que solo company_admin puede leer.
Los roles super_admin y company_admin requieren TOTP. Soportamos cualquier autenticador estándar (Google Authenticator, 1Password, Authy). La sesión expira por inactividad y reintentos fallidos disparan throttling automático.
Cada tenant es propietario de sus datos. Soportamos exportación CSV completa (portabilidad), anonimización suave (anonymized_at) que conserva agregados sin PII, y retención configurable por tenant. El derecho al olvido aplica al borrar la columna PII y conservar solo los hashes para integridad referencial.
Si descubriste un problema de seguridad, escríbenos a [email protected]. Confirmamos en menos de 24h hábiles y damos crédito público a quienes reportan responsablemente.
