Seguridad en Marai
La protección de los datos de tu negocio y de tus clientes no es una funcionalidad más. Es la base sobre la que construimos todo lo demás.
Protección de datos
Todos los datos personales almacenados en Marai se cifran con AES-256-GCM, el mismo estándar que utilizan bancos y gobiernos. Este cifrado se aplica tanto en reposo (datos guardados en la base de datos) como en tránsito (datos que viajan entre tu navegador y nuestros servidores).
Las conexiones a Marai están protegidas con TLS 1.3, la versión más reciente y segura del protocolo de cifrado para comunicaciones web. Esto garantiza que nadie puede interceptar la información que envías o recibes mientras usas la plataforma.
Los datos sensibles (nombres, teléfonos, emails de clientes) se cifran individualmente antes de almacenarse. Ni siquiera nuestro equipo técnico puede leerlos en crudo sin las claves de descifrado correspondientes.
Aislamiento por negocio
Marai implementa Row Level Security (RLS) a nivel de PostgreSQL. Esto significa que el aislamiento de datos no depende del código de la aplicación, sino de la propia base de datos. Cada consulta que realiza un negocio está filtrada automáticamente para que solo pueda acceder a sus propios registros.
En la práctica: una peluquería en Madrid jamás podrá ver los datos de una clínica en Barcelona, incluso si comparten la misma infraestructura. El aislamiento es absoluto y opera a nivel de cada fila de cada tabla — más de 80 tablas protegidas con políticas RLS individuales.
Este modelo es el mismo que utilizan plataformas de nivel empresarial como Supabase y Neon. No es un filtro «por software», es una restricción a nivel del motor de base de datos que no se puede saltar desde la aplicación.
Cumplimiento normativo
Marai cumple con las tres normativas clave de protección de datos y servicios digitales en España:
RGPD (Reglamento General de Protección de Datos)
Cumplimiento total del reglamento europeo. Consentimiento explícito para el tratamiento de datos, derecho de acceso, rectificación, portabilidad y supresión.
LOPDGDD (Ley Orgánica de Protección de Datos)
Adaptación española del RGPD. Marai cumple con las disposiciones adicionales específicas para el mercado español, incluido el tratamiento de datos de menores y la garantía de derechos digitales.
LSSI-CE (Ley de Servicios de la Sociedad de la Información)
Cumplimiento de las obligaciones para prestadores de servicios digitales, incluyendo información legal, comunicaciones comerciales y cookies.
Cualquier usuario puede solicitar la exportación completa de sus datos o su eliminación permanente desde los ajustes de su cuenta. Las solicitudes de eliminación se ejecutan en un plazo máximo de 72 horas.
Para consultas relacionadas con la protección de datos, puedes contactar con nuestro Delegado de Protección de Datos (DPO) en maraiagenda@gmail.com. Más detalles en nuestra política de privacidad.
Pagos seguros
Todos los pagos en Marai se procesan a través de Stripe, certificado PCI-DSS nivel 1 — el nivel más alto de seguridad en la industria de pagos. Stripe procesa más de 1 billón de dólares al año para empresas como Amazon, Google y Shopify.
Marai nunca almacena ni procesa datos de tarjetas de crédito. Cuando un cliente paga una señal o una reserva, los datos de su tarjeta viajan directamente a Stripe sin pasar por nuestros servidores. No vemos el número de tarjeta, ni la fecha de caducidad, ni el CVV.
Todas las transacciones que lo requieren están protegidas con 3D Secure (SCA), el estándar europeo de autenticación reforzada que añade una segunda verificación al pago. Esto reduce drásticamente el fraude y cumple con la directiva PSD2 de la Unión Europea.
Infraestructura
Los datos de Marai se almacenan en servidores ubicados en la Unión Europea, cumpliendo con los requisitos de residencia de datos del RGPD. No hay transferencias internacionales de datos fuera de la UE sin las garantías adecuadas.
Cloudflare CDN
Red de distribución de contenido global con protección DDoS integrada. El tráfico malicioso se bloquea antes de llegar a nuestros servidores.
Copias de seguridad
Backups automáticos cifrados cada 24 horas con retención de 30 días. Restauración posible en menos de una hora.
Rate limiting
Limitación de peticiones por IP y por cuenta para prevenir ataques de fuerza bruta y abuso de la API.
Monitorización 24/7
Alertas automáticas ante cualquier anomalía en latencia, errores o patrones de acceso inusuales.
Control de accesos
Marai utiliza autenticación basada en tokens JWT con cookies httpOnly, lo que impide que scripts maliciosos accedan a las credenciales de sesión. Los tokens se renuevan automáticamente y tienen una caducidad corta para minimizar el impacto de un compromiso.
El sistema de permisos es granular y basado en roles:
Propietario (Owner)
Acceso completo a todas las funcionalidades, facturación, configuración del negocio y gestión de equipo.
Profesional
Acceso a su propia agenda, citas, clientes asignados e inventario. No puede ver datos financieros ni de otros profesionales.
Solo lectura
Acceso de consulta sin posibilidad de modificar datos. Ideal para supervisores o auditores externos.
En el plan Business, los negocios también pueden activar el inicio de sesión único (SSO) para centralizar la gestión de identidades a través de su proveedor corporativo.
Hoja de ruta de seguridad
La seguridad no es un destino, es un proceso continuo. Estos son los próximos hitos en nuestra hoja de ruta:
SOC 2 Type II (planificado)
Auditoría externa e independiente de nuestros controles de seguridad, disponibilidad y confidencialidad. Previsto para 2027.
ISO 27001 (en evaluación)
Estándar internacional de gestión de seguridad de la información. Estamos evaluando el alcance y los plazos para la certificación.
Programa de bug bounty (en desarrollo)
Invitaremos a investigadores de seguridad externos a reportar vulnerabilidades de forma responsable a cambio de recompensas.
Recursos relacionados
¿Tienes preguntas sobre seguridad? maraiagenda@gmail.com