ScoutAtlas
Legal · resúmenes en lenguaje claro encima de cada sección

Scout Atlas legal.

Lenguaje claro primero, lenguaje formal después. Tratamos las páginas legales como un producto — legibles, bien versionadas y honestas sobre lo que hacemos y lo que no.

Plain summary

Tratamos la seguridad como una característica del producto. Esta página lista nuestros sub-procesadores, los SLAs de respuesta a incidentes y las reglas del programa de divulgación. Para la narrativa, ver la página de seguridad pública.

Sub-procesadores

Notificamos a los administradores con al menos 30 días de antelación cualquier cambio de sub-procesador. La lista en vivo se replica en /security/sub-processors.json.

  • Supabase — Base de datos Postgres, autenticación, seguridad a nivel de fila. Región UE para clubes europeos, región US bajo solicitud.
  • Vercel — Hosting de aplicación y entrega edge para el sitio de marketing y el shell autenticado.
  • Stripe — Procesamiento de pagos para pruebas self-serve. PCI-DSS Nivel 1.
  • Resend — Email transaccional (magic links, notificaciones, digests).
  • Cloudflare — DNS y protección DDoS.

Respuesta a incidentes

  • Detección. Alertas en tiempo real sobre anomalías de autenticación, picos de error y patrones de acceso a base de datos. Rotación on-call de fundadores 24/7.
  • Triaje. Severidad clasificada en menos de 30 minutos (S1/S2/S3) según un runbook público.
  • Divulgación. Clubes afectados notificados en menos de 72 horas tras incidente confirmado, con detalle técnico.
  • Post-mortem. Post-mortem escrito publicado a clubes afectados en menos de 14 días, con acciones correctivas y plazos.

Divulgación de vulnerabilidades

Operamos un programa abierto. Escribe a security@scoutatlas.co con pasos de reproducción y, cuando aplique, un payload PoC.

  • Acusamos recibo en menos de 48 horas.
  • Comprometemos un plazo de remediación en menos de 7 días, escalado por severidad.
  • Damos crédito a los investigadores en el changelog cuando los parches salen — con permiso.
  • Nos comprometemos a no emprender acciones legales contra investigadores de buena fe que sigan las reglas del programa.

Fuera de alcance

Lo siguiente queda explícitamente fuera de alcance del programa: ataques DoS, ingeniería social a empleados, vulnerabilidades en servicios de terceros ya divulgadas públicamente y testeo de seguridad física.

Cifrado

  • TLS 1.3 en tránsito, solo cipher suites modernas, HSTS preload.
  • AES-256-GCM en reposo para columnas sensibles.
  • Cifrado extremo a extremo para mensajes del Deal Room con claves por sala que no podemos leer.
  • Sobres de claves por club para streams privados opt-in (GPS, biometría, médico).

Auditorías

  • Auditoría de readiness SOC 2 Type II — Q4 2026.
  • Pentest independiente — anual desde el segundo año (2027).
  • Revisión interna trimestral de permisos de acceso y logs de auditoría.

Operado por Oney Finansal Danışmanlık Turizm ve Dış Ticaret Anonim Şirketi (“Oney AŞ”), una sociedad anónima constituida bajo las leyes de la República de Türkiye, con domicilio social en Estambul, Türkiye.

Última actualización · 5 de mayo de 2026 · contacto: legal@scoutatlas.co