Política de Seguridad de Datos

Última actualización: 17 de mayo de 2026

Lo esencial: tú eres el dueño de tus datos. Leadera los guarda cifrados (en tránsito y en reposo), aislados por espacio de trabajo, y solo los usa para prestarte el Servicio. Puedes exportarlos o eliminarlos cuando quieras.

En Leadera, la seguridad y la privacidad de tu información son nuestra máxima prioridad. Esta política describe las medidas técnicas, organizativas y de infraestructura que implementamos para proteger tus datos. Para el detalle del tratamiento de datos personales conforme a la LFPDPPP, consulta nuestro Aviso de Privacidad.

1. Propiedad de los Datos

  • Tus datos son tuyos. Toda la información que cargas a Leadera (perfil, inventario, prospectos, fotos, cotizaciones, plantillas) es propiedad exclusiva tuya. Leadera no reclama propiedad alguna sobre tu contenido.
  • Solo la usamos para prestarte el Servicio. No vendemos, alquilamos ni cedemos tus datos a terceros con fines comerciales. No entrenamos modelos de inteligencia artificial con tu contenido.
  • Puedes irte cuando quieras. Puedes exportar tu información y solicitar la eliminación de tu cuenta en cualquier momento desde Ajustes, sin penalización.

2. Cifrado de la Información

  • Cifrado en tránsito: toda la comunicación entre tu dispositivo y nuestros servidores viaja por canales cifrados con TLS 1.2 o superior (HTTPS). El dominio leadera.mx aplica HSTS con preload, lo que garantiza que el navegador solo acepte conexiones cifradas.
  • Cifrado en reposo: tu base de datos PostgreSQL y los archivos que cargas (imágenes de productos, avatares, logos) se almacenan cifrados a nivel de proveedor (Supabase) con cifrado AES-256.
  • Cifrado de pagos: Stripe (PCI DSS Level 1) procesa toda la información de tarjetas. Leadera nunca recibe, almacena ni tiene acceso a los números completos de tarjeta, CVV ni códigos de seguridad.
  • Cifrado de notificaciones push: los payloads de notificaciones se cifran con las claves criptográficas de tu navegador (p256dh, auth) antes de salir de nuestros servidores. Los servicios push intermedios (FCM, Apple Push, Mozilla Push) no pueden leer el contenido.
  • Tokens de integraciones: los tokens OAuth de las integraciones que conectas (HubSpot, Salesforce, Meta, etc.) se almacenan cifrados en reposo. Puedes revocar cualquier integración en un click desde la sección "Conexiones".

3. Aislamiento por Espacio de Trabajo

Tu cuenta y toda la información asociada (prospectos, catálogo, miembros de equipo, cotizaciones, etc.) residen dentro de un "espacio de trabajo" (workspace) aislado.

  • Acceso exclusivo: solo los usuarios que tú, como administrador, invites a tu espacio de trabajo pueden acceder a su contenido.
  • Aislamiento total: ningún usuario de otra empresa o equipo en la plataforma Leadera puede ver, modificar o acceder a la información de tu espacio de trabajo. El aislamiento se aplica a nivel de base de datos mediante Row Level Security (RLS) de PostgreSQL: las reglas de acceso están definidas en el motor de base de datos y no dependen únicamente de la lógica de la aplicación.

4. Permisos Inteligentes Dentro de tu Equipo

Leadera implementa un sistema de roles para asegurar que cada miembro de tu equipo tenga los permisos adecuados para su función, protegiendo la integridad de tu información.

  • Rol de Administrador: como dueño o administrador del equipo, tienes control total sobre la información de tu espacio de trabajo. Puedes crear, leer, actualizar y eliminar cualquier dato, así como gestionar a los miembros de tu equipo.
  • Rol de Miembro: los miembros pueden colaborar añadiendo y actualizando información (como crear prospectos o editar productos). Sin embargo, no pueden eliminar información crítica, como productos del catálogo o prospectos que no les pertenecen. Esta capacidad está reservada para los administradores, previniendo la pérdida accidental de datos valiosos.

5. Autenticación

  • Contraseñas almacenadas mediante hashing fuerte (bcrypt o equivalente) — nunca en texto plano.
  • Soporte para inicio de sesión con Google y Apple a través de OAuth 2.0 / OpenID Connect, con scopes mínimos (correo electrónico, nombre, foto pública).
  • Sesiones gestionadas con cookies seguras (Secure + HttpOnly + SameSite) y JWT firmados criptográficamente.
  • Solicitud y restablecimiento de contraseña mediante enlaces de un solo uso con expiración corta.

6. Visibilidad Pública Controlada

  • Tu perfil de usuario (nombre, foto, redes sociales que decidas publicar) es visible a través de tu tarjeta digital pública para que tus prospectos puedan contactarte. La URL pública sigue el formato leadera.mx/p/<tu-slug>.
  • La información sensible de tu cuenta (correo electrónico privado interno, datos de pago, lista interna de prospectos, configuración del equipo) nunca es accesible públicamente.
  • Hemos implementado reglas técnicas (Row Level Security + grants mínimos en la vista public_profiles) que impiden que actores externos puedan listar o descargar masivamente la información de los usuarios de la plataforma.

7. Infraestructura y Subprocesadores

Leadera se apoya en proveedores de clase mundial, todos con certificaciones de seguridad reconocidas internacionalmente:

  • Vercel, Inc. — hosting de la aplicación web y funciones serverless. Centros de datos en Norteamérica. SOC 2 Type II.
  • Supabase, Inc. — base de datos PostgreSQL, autenticación y almacenamiento de archivos. Centros de datos en Norteamérica. SOC 2 Type II, cifrado AES-256 en reposo.
  • Stripe, Inc. — procesamiento de pagos. PCI DSS Level 1.
  • Resend — envío de correos transaccionales.
  • Sentry — monitoreo de errores. Los traces se sanitizan para remover tokens, contraseñas, emails y datos sensibles de formularios antes de salir de tu navegador.

8. Defensas contra Abuso y Ataques

  • Cabeceras de seguridad HTTP: X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy y HSTS con preload activos en todo el dominio.
  • Rate-limiting: endpoints sensibles (checkout, tickets de soporte) tienen límites por IP y por usuario para mitigar abuso automatizado.
  • Validación de webhooks: los webhooks entrantes (Stripe, integraciones de terceros) se verifican criptográficamente por firma antes de ser procesados.
  • Validación CSRF: los flujos OAuth utilizan nonces criptográficos de un solo uso, validados con comparación timing-safe.
  • Detección y registro de errores: monitoreo continuo con Sentry; revisión periódica de logs y patrones anómalos.

9. Notificación de Incidentes

En caso de detectar un incidente de seguridad que afecte tus datos personales, Leadera notificará a los usuarios afectados sin demora injustificada y, en todo caso, dentro de los plazos previstos por la LFPDPPP y su Reglamento. La notificación incluirá la naturaleza del incidente, los datos comprometidos, las medidas correctivas adoptadas y las recomendaciones para los titulares.

10. Reporte de Vulnerabilidades

Si descubres una vulnerabilidad de seguridad en Leadera, te agradecemos que la reportes de forma responsable al correo [email protected]. Nos comprometemos a (a) acusar recibo en un plazo razonable, (b) investigar y corregir el problema con prioridad, y (c) no emprender acciones legales contra quienes reporten vulnerabilidades de buena fe siguiendo prácticas estándar de divulgación coordinada (responsible disclosure).

En resumen: tu confianza es nuestro activo más importante. Hemos diseñado Leadera desde cero con una arquitectura de seguridad que garantiza que tus datos comerciales permanezcan privados, cifrados, aislados y siempre bajo tu control. Si tienes alguna pregunta sobre nuestras prácticas de seguridad, no dudes en contactarnos en [email protected].