Seguridad
sin promesas vacías.

Aquí está exactamente cómo protegemos tu información. Sin tecnicismos innecesarios, sin marketing inflado — los hechos.

HTTPS/TLS 1.3 bcrypt 12 rondas Wompi PCI-DSS L1 Ley 1581 de 2012

🔒

Cifrado en tránsito

Toda la comunicación entre tu dispositivo y Fino viaja por HTTPS con TLS 1.3. Nadie en la red puede leerla.

🔑

Contraseñas hasheadas

Usamos bcrypt con 12 rondas de cómputo. Ni nosotros podemos ver tu contraseña: solo verificamos hash contra hash.

🏝️

Aislamiento por cuenta

Cada negocio vive en su propio espacio lógico. Es imposible que un usuario vea datos de otro, ni por error ni intencionalmente.

Contraseñas y autenticación

Las contraseñas nunca se guardan en texto plano. Usamos el algoritmo bcrypt con factor de costo 12 — el estándar recomendado por OWASP para 2026.

Solo guardamos el hash, no la contraseña original.
Cada hash incluye un "salt" único, imposible de revertir incluso si una base de datos se filtrara.
Si olvidas tu contraseña, el admin puede generar una nueva — pero ni el admin puede ver la anterior.
Las sesiones expiran a los 30 días de inactividad.

Cifrado de comunicación

Cada byte que sale de tu navegador o aplicación viaja cifrado:

HTTPS obligatorio: el sitio fuerza HTTPS con HSTS. Sin posibilidad de bajar a HTTP plano.
TLS 1.3: protocolo más reciente y rápido, con perfect forward secrecy.
Certificados modernos: emitidos por autoridades reconocidas.

Seguridad de pagos

Fino nunca ve tu tarjeta de crédito. Toda la info de pago se procesa directamente con Wompi (Bancolombia), una pasarela certificada PCI-DSS Level 1 — el estándar más alto de seguridad de pagos en el mundo.

Cuando pagas Pro, te redirigimos al checkout de Wompi en su dominio.
Tú escribes tu tarjeta/PSE/Nequi/Daviplata en los servidores de Wompi, no en los nuestros.
Wompi nos avisa después por un webhook firmado HMAC SHA-256 si el pago fue aprobado. Solo ese mensaje firmado y validado activa tu plan Pro.
No almacenamos números de tarjeta, CVV, fechas de vencimiento ni nada similar.

Aislamiento de datos

Cada negocio en Fino tiene su propio tenant ID. Todas las consultas a la base de datos se filtran por ese ID. Es imposible arquitectónicamente que un usuario vea datos de otro:

Productos, ventas, clientes, deudas — todo se aísla por user_id.
Cajeros heredan el acceso de su negocio principal, jamás el de otros negocios.
Los administradores de Fino tienen una vista global, pero auditada y restringida a operaciones de soporte.

Integración con WhatsApp

La conexión a WhatsApp es opcional y está bajo tu control:

La sesión vive en archivos cifrados en disco bajo el directorio auth_sessions/user_X.
Solo tú puedes ver los mensajes; nosotros no almacenamos copias.
Puedes desconectar tu WhatsApp con un toque desde el panel — borra completamente la sesión.
Los recibos que envíes quedan registrados en tu historial, no en nuestros logs.

Respaldos y disponibilidad

Hacemos respaldos automáticos diarios. Además, tú puedes descargar tu propio backup completo en formato JSON cuando quieras desde Configuración. Sin pedir permiso, sin esperar a soporte.

Recomendación: descarga tu backup al menos una vez al mes y guárdalo en un lugar seguro (Drive, Dropbox, USB). Es tuyo.

Control de acceso interno

El equipo de Fino tiene acceso limitado a los sistemas:

Principle of least privilege: solo el personal técnico tiene acceso de lectura a producción, y únicamente cuando atiende un soporte específico que el usuario solicitó.
Audit log: cada acción sensible deja huella.
Sin acceso a contraseñas: aunque tuviéramos malas intenciones, las contraseñas hasheadas no se pueden revertir.

¿Qué pasa si algo sale mal?

Si detectamos una brecha de seguridad que afecte tus datos, te notificaremos por correo en máximo 72 horas, conforme a buenas prácticas internacionales y al art. 17 de la Ley 1581 de 2012.

El aviso incluirá: qué pasó, qué datos pueden estar afectados, qué estamos haciendo para resolverlo y qué puedes hacer tú.

Reportar una vulnerabilidad

Si encuentras una vulnerabilidad de seguridad, agradecemos que nos avises antes de divulgarla públicamente. Programa de disclosure responsable:

📧 Escribe a hola@fino.lat con el asunto SECURITY.
Describe el problema con suficiente detalle para reproducirlo.
Te respondemos en máximo 48 horas con un plan de remediación.
Si la vulnerabilidad es crítica y la reportas de forma responsable, te incluimos en nuestra página de agradecimientos.

Checklist de buenas prácticas para ti

Usa una contraseña fuerte: mínimo 12 caracteres, mezcla de mayúsculas, minúsculas, números y símbolos.
No compartas tu contraseña ni la reutilices de otros servicios.
Cierra sesión al usar Fino en un computador que no es tuyo.
Descarga tu backup regularmente.
Verifica el dominio antes de escribir tu contraseña — asegúrate que dice fino.lat.
Crea un cajero por empleado en vez de compartir tu cuenta principal.

Contacto de seguridad

Para reportar vulnerabilidades, dudas o incidentes:

📧 Correo: hola@fino.lat (asunto: SECURITY)
💬 WhatsApp urgente: +57 300 000 0000

Seguridadsin promesas vacías.