Seguridad en Marai
La protección de los datos de tu negocio y de tus clientes no es una funcionalidad más. Es la base sobre la que construimos todo lo demás.
AES-256-GCM
Cifrado en reposo y en tránsito
TLS 1.3 · backups cifrados
82 políticas RLS
Aislamiento por negocio
Row Level Security · PostgreSQL
PCI-DSS N.1
Pagos certificados vía Stripe
Stripe Radar · 3DS2 SCA
0 vulnerabilidades
Auditoría de código — marzo 2026
97 archivos · 0 incidencias
Tus datos, protegidos como en un banco
Usamos la misma tecnología de cifrado que utilizan los bancos y los gobiernos. Sin tecnicismos: tu información es completamente privada e inaccesible para cualquier persona ajena a tu negocio.
RGPD nativo
Datos almacenados en servidores europeos (UE). Cumplimiento total de la RGPD, la LOPDGDD española y la LSSI-CE. Consentimiento explícito, derecho de supresión y portabilidad de datos en menos de 72 horas.
Cifrado AES-256
Todos los datos personales se cifran con AES-256-GCM — el mismo estándar que usan los bancos y los gobiernos. Conexiones protegidas con TLS 1.3. Ni siquiera nuestro equipo puede leer los datos en crudo.
Pagos PCI-DSS
Pagos procesados exclusivamente por Stripe, certificado PCI-DSS nivel 1 (el más alto de la industria). Autenticación 3D Secure y cumplimiento SCA/PSD2. Marai nunca almacena ni procesa datos de tarjetas.
Row Level Security
Aislamiento implementado directamente en PostgreSQL. Más de 80 tablas con políticas RLS individuales. Un negocio jamás puede acceder a datos de otro — garantizado por la base de datos, no por el código.
Aislamiento de datos por negocio
En Marai, cada negocio tiene su propio espacio protegido e independiente. Tus clientes, citas e información son estrictamente tuyos — ningún otro negocio puede acceder a ellos, ni por error.
"Un negocio en Madrid jamás accede a los datos de uno en Barcelona, aunque ambos compartan la misma infraestructura."
Garantizado por la base de datos, no por código
El aislamiento está declarado directamente en PostgreSQL. No es una promesa en el código — es una restricción que el propio motor de base de datos aplica en cada consulta, sin excepción y sin posibilidad de ser omitida.
Ningún error puede cruzar los límites
Ni un fallo de programación, ni un caso límite, ni ninguna vulnerabilidad puede hacer que los datos de un negocio sean visibles para otro. El sistema rechaza automáticamente cualquier intento de acceso cruzado.
El estándar de las plataformas más exigentes
Row Level Security es el mismo modelo de aislamiento que usan plataformas de nivel empresarial como Supabase. Marai lo implementa en sus 80 tablas con 82 políticas de seguridad individuales activas en todo momento.
Cumplimiento normativo
Marai cumple con las normativas de protección de datos y servicios digitales aplicables en España y en la Unión Europea:
RGPD — Reglamento (UE) 2016/679, de 27 de abril de 2016
Tienes el control total de tus datos. Puedes pedir que te digamos qué guardamos, que lo corrijamos o que lo borremos todo — en menos de 30 días.
Ver texto legal completo
Base jurídica explícita y documentada para cada tratamiento de datos (arts. 6 y 7 RGPD). Ejercicio efectivo de los derechos de acceso, rectificación, supresión, portabilidad y oposición (arts. 15–21 RGPD). Registro de Actividades de Tratamiento mantenido conforme al art. 30 RGPD. Los datos se alojan exclusivamente en la Unión Europea. No se realizan transferencias internacionales a terceros países sin las garantías previstas en los arts. 44–49 RGPD.
LOPDGDD — Ley Orgánica 3/2018, de 5 de diciembre
La misma ley europea pero aplicada en España, con protecciones adicionales. Si tienes 14 años o menos, necesitas permiso de tus padres para usar servicios digitales.
Ver texto legal completo
Adaptación española del RGPD. Cumplimiento de las disposiciones adicionales de la LOPDGDD: tratamiento de datos de personas menores de edad conforme al art. 7 (consentimiento digital a partir de los 14 años), derechos digitales del Título X (derecho a la desconexión digital, privacidad en el entorno laboral, derecho al olvido en redes sociales), y plazos de bloqueo y supresión de datos.
LSSI-CE — Ley 34/2002, de 11 de julio
La ley que regula las tiendas y servicios online en España. Nos obliga a decirte exactamente quiénes somos, qué vendemos y cómo funciona antes de que contrates nada.
Ver texto legal completo
Cumplimiento de las obligaciones para prestadores de servicios de la sociedad de la información: identificación legal completa del prestador en el aviso legal, condiciones generales de contratación, diferenciación de comunicaciones comerciales electrónicas, política de cookies con consentimiento granular y posibilidad de retirada del consentimiento en cualquier momento.
PSD2 — Directiva (UE) 2015/2366, del Parlamento Europeo y del Consejo
La ley europea que hace los pagos más seguros. Cuando pagas con tarjeta, el banco te pide un código o tu huella para confirmar que eres tú. Sin esa confirmación, no se puede cobrar.
Ver texto legal completo
Autenticación Reforzada de Clientes (SCA) implementada mediante 3D Secure 2 (3DS2) a través de Stripe para todos los pagos de consumidores finales en el Espacio Económico Europeo. Cumplimiento del art. 97 PSD2 y de los Estándares Técnicos de Regulación (RTS) publicados por la Autoridad Bancaria Europea (EBA) sobre autenticación y comunicación segura.
Pagos seguros con Stripe
Todos los pagos en Marai se procesan a través de Stripe, certificado como Proveedor de Servicio PCI-DSS Nivel 1 — el nivel de certificación más exigente del estándar de seguridad para la industria de pagos con tarjeta (Payment Card Industry Data Security Standard). Stripe es auditado anualmente por un Asesor de Seguridad Cualificado (QSA) independiente.
Marai nunca almacena, procesa ni transmite datos de tarjetas de pago. Los datos de la tarjeta del cliente (número PAN, fecha de caducidad, CVV) se cifran directamente en el navegador del usuario con la clave pública de Stripe mediante Stripe.js, y viajan exclusivamente a los servidores de Stripe sin pasar en ningún momento por los servidores de Marai. Lo que Marai recibe es únicamente un identificador de método de pago (PaymentMethod ID) que referencia la tarjeta tokenizada sin exponerla.
Las transacciones que lo requieren se procesan con 3D Secure 2 (SCA), obligatorio en el Espacio Económico Europeo por la Directiva PSD2. Marai tiene activado Stripe Radar, el motor de detección de fraude basado en inteligencia artificial de Stripe, que evalúa cada transacción en tiempo real y bloquea pagos sospechosos antes de que se autoricen. Los eventos enviados por Stripe a Marai mediante webhooks se verifican con firma HMAC-SHA256 para garantizar su autenticidad e integridad.
Infraestructura y red
Los datos de Marai se almacenan en servidores ubicados exclusivamente en la Unión Europea, cumpliendo con los requisitos de residencia de datos del RGPD (arts. 44–49). No se realizan transferencias internacionales de datos fuera del Espacio Económico Europeo sin las garantías adecuadas (Decisiones de Adecuación de la Comisión Europea o Cláusulas Contractuales Estándar).
Cloudflare WAF, CDN y protección DDoS
- WAF con reglas personalizadas: bloqueo de rutas de diagnóstico
- Challenge geográfico (España, LATAM, UE, EE. UU.)
- Bot Fight Mode activo
- DDoS — sensibilidad Alta, respuesta en modo Bloqueo
- Tráfico malicioso bloqueado en el borde de red de Cloudflare
Seguridad DNS completa
- DNSSEC habilitado para maraiagenda.com
- SPF: v=spf1 include:_spf.google.com -all
- DMARC: p=reject, adkim=s, aspf=s + supervisión activa
- CAA: solo Let's Encrypt y DigiCert pueden emitir TLS
Copias de seguridad cifradas
- Cifrado AES-256 + backup automático cada 24 horas
- Retención de 30 días
- RPO (pérdida máxima de datos): 24 horas
- RTO (tiempo de recuperación): menos de 60 minutos
- Almacenamiento geográficamente separado de producción
Rate limiting y monitorización continua
- 10 peticiones / 10 segundos en endpoints sensibles
- Límite de intentos de autenticación por IP y por cuenta
- Protección automática contra ataques de fuerza bruta
- Alertas ante anomalías de latencia, errores y accesos inusuales
Seguridad del código y de la aplicación
En marzo de 2026 realizamos una auditoría completa de toda nuestra aplicación. 97 archivos revisados, 0 vulnerabilidades encontradas. Estos son los controles que mantenemos activos de forma permanente:
Sin código malicioso ni puertas traseras
Revisamos de forma automática toda nuestra aplicación para garantizar que ningún código malicioso puede ejecutarse en nuestros servidores. Cada cambio que publicamos pasa por esta verificación antes de estar disponible. Resultado de la última auditoría: 0 problemas detectados en 97 archivos revisados.
Solo el código de Marai se ejecuta en tu navegador
Mantenemos una lista autorizada que permite únicamente el código que nosotros publicamos. Cualquier intento de inyectar código externo —ya sea de un atacante o de un tercero no autorizado— es bloqueado automáticamente por el navegador. Esta protección se regenera con cada nueva versión y se verifica de forma independiente.
Formularios protegidos contra bots y fraude
Cada mensaje enviado desde nuestra web pasa por cuatro capas de verificación: comprobamos que es un humano quien escribe, que el tiempo de envío es coherente, que los datos tienen el formato correcto y que has dado tu consentimiento. Los intentos automatizados son bloqueados antes de llegar a nuestros servidores.
Sin vulnerabilidades en los componentes que usamos
Toda aplicación utiliza componentes de terceros. Monitorizamos continuamente todos los que usamos para detectar cualquier fallo de seguridad publicado. Resultado en la última revisión: 0 vulnerabilidades detectadas. Además, todos los enlaces externos están configurados para no filtrar información de tu sesión al hacer clic en ellos.
Control de accesos y gestión de sesiones
Secure y SameSite=Strict. Las cookies httpOnly son inaccesibles para cualquier script de JavaScript ejecutado en el navegador, eliminando el vector de ataque XSS para el robo de credenciales. Los tokens tienen una caducidad corta y se renuevan automáticamente en segundo plano para mantener la sesión activa sin exponer el token de forma prolongada.El sistema de permisos es granular y está basado en roles, reforzado por las 82 políticas RLS de la base de datos que actúan como segunda capa de control independiente del código de aplicación:
Propietario
Acceso completo: configuración del negocio, gestión del equipo, facturación, informes globales y todas las funcionalidades de la plataforma. Único rol con acceso a los datos financieros del negocio.
Profesional
Acceso estrictamente limitado a su propia agenda, las citas que gestiona y los clientes asignados a él. Sin acceso a datos económicos del negocio ni a la información de otros profesionales del equipo.
Solo lectura
Acceso de consulta sin posibilidad de crear, modificar ni eliminar ningún registro. Diseñado para supervisores o auditores externos que necesitan visibilidad sin capacidad de intervención.
La gestión de sesiones se realiza íntegramente desde el dominio app.maraiagenda.com mediante cookies de primer partido, sin dependencia de proveedores de identidad externos para la autenticación principal.
Hoja de ruta de seguridad
La seguridad es un proceso de mejora continua. Los próximos hitos planificados en nuestra hoja de ruta son:
SOC 2 Tipo II (planificado — 2027)
Auditoría externa e independiente de nuestros controles de seguridad, disponibilidad, integridad del procesamiento y confidencialidad, realizada por una firma auditora acreditada (CPA). El informe SOC 2 Tipo II cubre un periodo mínimo de 6 meses de operación con los controles en vigor.
ISO/IEC 27001 (en evaluación)
Estándar internacional para Sistemas de Gestión de la Seguridad de la Información (SGSI). Estamos evaluando el alcance de la certificación, los controles del Anexo A aplicables a nuestra operativa y el calendario de implantación con un organismo de certificación acreditado por ENAC.
Política de divulgación responsable de vulnerabilidades (en desarrollo)
Publicación de una Política de Responsible Disclosure que permita a investigadores de seguridad externos reportar vulnerabilidades de forma coordinada y sin riesgo legal. Incluirá un canal dedicado vía security.txt (RFC 9116) con un buzón de contacto y tiempos de respuesta comprometidos.
Autenticación de dos factores (2FA) para propietarios (planificado)
Segundo factor de autenticación mediante TOTP (apps compatibles: Google Authenticator, Authy, 1Password) para las cuentas de propietario. Añade una capa adicional de protección ante el robo o filtración de contraseñas.
Recursos relacionados
Tus datos, protegidos desde el primer día.
Sin configuraciones de seguridad que hacer. Sin costes extra. RGPD, cifrado AES-256, aislamiento por negocio y pagos PCI-DSS incluidos en todos los planes, desde el gratuito.