Seguridad
Evibe se construye sobre tu confianza. Así protegemos tus datos — en reposo, en tránsito y en nuestra infraestructura.
Nuestra base solo contiene datos de portfolio anonimizados — sin nombre, sin identidad legible. Tu email se usa únicamente para iniciar sesión y vive en Firebase Authentication, no en nuestros servidores.
Todo el tráfico entre tus dispositivos y nuestros servidores va cifrado en tránsito (TLS 1.3). En reposo, tus datos residen en un volumen totalmente cifrado (LUKS2, AES-256) y las copias de seguridad externas se cifran antes de salir del servidor.
Un toque dentro de la app y todo desaparece — portfolios, transacciones, cuenta. Conforme con el RGPD por defecto, incluyendo exportación y derecho al olvido.
Buenas prácticas operativas
Aplicamos las buenas prácticas de seguridad esperadas en una empresa moderna cloud-native, incluidas: mínimo privilegio para el acceso a producción, doble factor obligatorio en cada cuenta de administración, secretos cifrados gestionados con un secret store endurecido, escaneo automatizado de dependencias y vulnerabilidades con parcheo rápido, y una separación clara entre los entornos de desarrollo y producción.
Cifrado en profundidad
En tránsito: TLS de extremo a extremo (1.2 o superior) entre tus dispositivos y nuestra infraestructura.
En reposo: la base de datos, la caché y el swap residen en un volumen cifrado (LUKS2 / AES-256-XTS) que se desbloquea al arrancar mediante un módulo de seguridad por hardware (TPM 2.0) en el servidor — la clave de cifrado nunca se escribe en claro en el disco. Las copias de seguridad externas se cifran en el servidor (AES-256) antes de subirse, y las claves que protegen esas copias se guardan en el propio volumen cifrado.
Como solo almacenamos identificadores opacos y ningún nombre, un disco perdido o retirado no expone ningún dato personal o financiero utilizable.
Autenticación
La autenticación se delega en Firebase Authentication (Google Cloud), un proveedor estándar usado por cientos de miles de apps. Nunca vemos ni almacenamos tu contraseña — Firebase la gestiona en su infraestructura endurecida.
Subencargados y localización de los datos
Nuestros subencargados son: Firebase (Google Ireland Ltd.) para la autenticación, y OVH Hosting Inc. (Canadá) para el alojamiento de los datos de portfolio. Los datos de portfolio se almacenan anonimizados en Canadá (centro de datos de OVH en Beauharnois); la transferencia desde nuestra entidad europea (Wonderlink SL, España) se basa en la decisión de adecuación de la Comisión Europea para Canadá (organizaciones sujetas a la PIPEDA). Ambos subencargados están vinculados por acuerdos de tratamiento de datos alineados con el RGPD.
Reportar una vulnerabilidad
Si crees haber encontrado un problema de seguridad, escríbenos al correo de contacto al pie de esta página. Nos comprometemos a acusar recibo en 48 horas y a publicar correcciones lo antes posible. Con tu permiso, agradecemos públicamente a los investigadores que ayudan a mantener Evibe seguro.