Encryption en tránsito
Todo el tráfico viaja sobre TLS 1.3. HSTS forzado en producción con preload. Cero conexiones HTTP sin redirección.
Centro de confianza · Divulgación responsable
Tu data, en serio.
Quibex maneja tu información financiera con los mismos estándares que usa la infraestructura sobre la que está construido. Encryption de extremo a extremo, conexiones bancarias vía Plaid, audit log permanente y postura de divulgación responsable pública.
TLS 1.3Encryption en tránsito
AES-256Tokens en reposo
72hRespuesta security report
SOC 2Subprocesadores certificados
Infraestructura
Cómo protegemos tu información.
Encryption end-to-end, headers de seguridad estrictos, auth con rate limiting agresivo, sesiones con expiración configurable.
Encryption en reposo
Postgres con encryption at-rest gestionado por Neon. Backups automáticos cifrados con rotación diaria.
Authentication
Passwords hasheados con bcrypt. Verificación de email en signup. Rate limiting agresivo en login (8 intentos por 5 min). Sesiones con expiración configurable.
Headers de seguridad
HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy y Content-Security-Policy aplicados a todas las respuestas.
Conexiones bancarias y proveedores
Conexiones a tus cuentas, sin credenciales.
Quibex nunca recibe ni almacena tus credenciales bancarias. Las integraciones se hacen vía estándares open banking y OAuth.
Plaid para bancos
Plaid maneja toda la autenticación bancaria. Quibex recibe únicamente acceso de lectura a transacciones y balances. El mismo estándar usado por Mercury, Robinhood, Venmo y miles de fintechs.
OAuth con providers
Stripe, Square, Shopify y QuickBooks se conectan vía OAuth 2.0 bajo control del operador. Tú autorizas el alcance, Quibex no toca credenciales y el acceso es revocable desde el provider.
Registro de auditoría
Cada decisión queda trazada.
Cada asiento contable, regla de clasificación y cambio en tu ledger queda registrado con actor, timestamp, valores antes/después y razón. Inmutable. Exportable.
- Retención: 7 años por defecto, alineado con requerimientos fiscales US.
- Granularidad: nivel asiento contable + nivel línea de débito/crédito.
- Exportación: CSV firmado con metadata por período de cierre.
- Acceso: únicamente el operador y CPAs explícitamente autorizados.
Privacidad · Propiedad de datos
Tu información es tuya.
Quibex es custodio, no dueño. Nunca vendemos tus datos, nunca los compartimos para publicidad, y puedes exportarlos o eliminarlos cuando quieras.
- Portabilidad: exportación completa en CSV (transacciones, ledger, audit log) bajo demanda.
- Eliminación: al cerrar tu cuenta, todos tus datos personales se eliminan en 30 días.
- Sin venta de data: Quibex no vende información personal a terceros.
- CCPA: residentes de California pueden ejercer derechos de conocer, eliminar y opt-out de venta. Quibex no vende información personal — el opt-out aplica en cualquier caso.
Subprocesadores
Quién maneja qué parte.
Quibex se apoya en proveedores de infraestructura para operar. Cada uno está sujeto a contratos de procesamiento de datos (DPA) y estándares mínimos de seguridad equivalentes.
| Subprocesador | Propósito | Región | Privacidad |
|---|---|---|---|
| Plaid | Conexión a bancos personales y de negocio (read-only) | USA | Política |
| Vercel | Hosting de la aplicación, edge runtime, CDN global | USA · Global | Política |
| Neon | Base de datos PostgreSQL gestionada | USA | Política |
| Resend | Envío de emails transaccionales (verificación, password reset) | USA | Política |
Los proveedores de pago e integraciones (Stripe, Square, Shopify, QuickBooks) se conectan bajo control directo del operador vía OAuth y procesan datos según sus propias políticas de privacidad. Quibex recibe únicamente la información que el operador autoriza.
Divulgación de vulnerabilidades
Encontraste algo. Cuéntanos.
Nos comprometemos a responder en 72 horas hábiles, trabajar contigo para resolver el reporte, y reconocer públicamente tu contribución si así lo deseas.
Cómo reportar
Envía detalles a security@quibex.app. Incluye pasos para reproducir, impacto estimado y cualquier evidencia relevante. Responsable disclosure file: security.txt.
Reglas del juego
No accedas a datos de otros usuarios. No degrades el servicio. No compartas el reporte públicamente hasta que confirmemos resolución. Cualquier investigación de buena fe está cubierta por safe harbor.
Cumplimiento · Certificaciones
Stack certificado.
Nuestra infraestructura (Vercel, Neon, Plaid, Resend) está certificada bajo SOC 2 Type II. Las prácticas internas de Quibex siguen los mismos principios.
- Plaid: SOC 2 Type II, ISO 27001, certified by AICPA.
- Vercel: SOC 2 Type II, ISO 27001, GDPR/CCPA aligned.
- Neon: SOC 2 Type II, encryption at rest + in transit.
- Resend: SOC 2 Type II, dominio verificado con SPF/DKIM/DMARC.
¿Tu CPA o equipo de compliance necesita más detalle?
Compartimos DPA, lista detallada de controles y cualquier documentación técnica que tu equipo de cumplimiento requiera.