IslaBooks maneja información extremadamente sensible: Social Security Numbers, salarios, EIN, datos bancarios, planillas.
Esta página explica exactamente cómo protegemos esa información. No frases vagas — implementaciones concretas con tecnologías estándar de la industria bancaria.
Ningún sistema en línea es 100% inmune a ataques sofisticados. Cualquier proveedor que le diga lo contrario miente. Lo que sí podemos prometer: aplicamos las protecciones estándar de la industria bancaria, somos transparentes sobre nuestras limitaciones, y cumplimos con las leyes de Puerto Rico. Esta página explica todo abiertamente — incluyendo lo que NO hacemos.
El mismo estándar que usa el gobierno federal de EE.UU., el sector militar y la banca.
Cada SSN se encripta con AES-256-GCM antes de guardarse en la base de datos. Aún si alguien obtuviera acceso físico al servidor, vería texto cifrado ilegible.
Nunca guardamos contraseñas en texto plano. Usamos bcrypt con cost 12 — el estándar de la industria bancaria. Si la base de datos fuera robada, descifrar las contraseñas sería computacionalmente imposible.
Respaldos diarios automáticos cifrados con AES-256-GCM antes de salir de su servidor a Cloudflare R2 (almacenamiento en la nube). Sin la passphrase, los backups son ilegibles.
Puede configurar respaldos a una carpeta en su propia computadora (USB, NAS, disco externo). Sus datos físicamente con usted, sin depender de Dropbox ni Google Drive. Encriptable opcionalmente con su contraseña maestra.
Aún si alguien roba una contraseña, no entra fácil.
Su cuenta puede activar verificación adicional con Google Authenticator, Authy, 1Password o Microsoft Authenticator. Aún si alguien roba su contraseña, no puede entrar sin acceso físico a su celular.
Implementación: TOTP con HMAC-SHA1, períodos de 30 segundos, códigos de 6 dígitos. Estándar RFC 6238.
Limitamos los intentos de login a 10 por IP cada 15 minutos. Al excederlos, se rechazan los nuevos intentos hasta que pase la ventana. Esto frena los ataques automatizados de adivinar contraseñas.
El límite se aplica antes de procesar la contraseña con bcrypt — un atacante no puede saturar el servidor.
Al activar 2FA, generamos 10 códigos de respaldo de un solo uso. Si pierde el celular, puede entrar con uno de estos códigos. Cada código solo funciona una vez.
Si deja la sesión inactiva 15 minutos, IslaBooks cierra sesión solo (con aviso antes para que pueda seguir conectado). Y toda sesión expira a más tardar a las 24 horas. Esto protege contra sesiones olvidadas en una computadora compartida o robadas.
Cuando escribe una contraseña maestra, o pide ver un SSN, el campo aparece tapado (••••) — nunca a la vista de quien esté cerca. Solo se revela si usted toca el ícono del ojo 👁️.
Además, las acciones irreversibles (como borrar una cuenta completa) exigen escribir el nombre exacto para confirmar — imposible borrar por accidente.
Toda comunicación con IslaBooks está forzada a HTTPS con HSTS preload. No es posible acceder por una conexión sin cifrar — el navegador ni siquiera lo permite.
Configuración: max-age 31536000 (1 año), includeSubDomains, preload eligible.
Usamos Helmet.js para enviar headers que protegen contra XSS, clickjacking, MIME sniffing y otros ataques comunes. Incluye CSP en sub-recursos críticos.
Solo dominios autorizados pueden hacer peticiones a nuestro API. Los datos no se exponen a sitios web maliciosos que intenten robarlos por XHR.
Limitamos las peticiones a 100 por ventana de 15 minutos por IP. Esto previene ataques de denegación de servicio (DDoS) y scraping masivo.
IslaBooks usa una arquitectura multi-tenant con aislamiento por cuenta. Cada cliente recibe un account_id único, y CADA consulta a la base de datos verifica que solo se devuelvan datos de su cuenta.
Esto significa que no es posible que un cliente vea por error los datos de otro cliente — ni intencionalmente, ni por bug. Tenemos pruebas automatizadas que verifican este aislamiento en cada despliegue.
Ser honestos sobre nuestras limitaciones es parte de respetar a nuestros clientes.
Estas son áreas en las que estamos trabajando o evaluando. Le diremos cuando estén disponibles.
IslaBooks cumple con la ley puertorriqueña que regula el manejo de información personal de residentes de PR. En caso de cualquier brecha, le notificaríamos dentro de los plazos exigidos por ley.
Vacaciones y enfermedad acumuladas según ley vigente. FLSA federal + Ley 379 de Puerto Rico para overtime. Bono de Navidad (Ley 148). Sus empleados reciben lo que la ley exige.
No somos un proyecto personal. Somos una empresa registrada legalmente en Puerto Rico con responsabilidad legal real:
Aún el sistema más seguro puede ser comprometido por errores del usuario. Le recomendamos:
Si descubre una vulnerabilidad o algo que parezca incorrecto, le agradecemos que nos contacte directamente antes de divulgarlo públicamente. Todos los reportes serios son tomados con prioridad y se responden dentro de 48 horas.
Si quiere conversar con nosotros sobre cómo IslaBooks puede proteger los datos de su negocio, escríbanos.
