Cómo protegemos los datos de tu club.
Sin la pelusa de marketing.
La inteligencia futbolística es sensible. Una shortlist filtrada cuesta una operación. Un parte médico filtrado cuesta una carrera. Abajo está el modelo de seguridad completo de Scout Atlas — qué hacemos, cómo lo hacemos y qué elegimos explícitamente no hacer.
Seis compromisos. Auditables.
Pilar 01
Cifrado por defecto
TLS 1.3 en tránsito. AES-256-GCM en reposo. Los mensajes del Deal Room están cifrados extremo a extremo con claves por sala que no podemos leer.
Pilar 02
Identidad verificada
Magic-link con TOTP MFA opcional. Correos corporativos vinculados al dominio. La asignación de roles requiere aprobación de admin, no una casilla auto-marcable.
Pilar 03
Aislamiento por fila
Postgres RLS impone los límites de club a nivel de base de datos. Un bug en la app no puede exponer los datos de otro club.
Pilar 04
Auditoría por defecto
Cada acción autenticada — vista, puntuación, mensaje, anulación — se registra de forma inmutable. Los admins de club pueden exportar el log de auditoría de su organización a demanda.
Pilar 05
Consciente del cumplimiento
GDPR, KVKK, objetivo SOC 2 Type II en Q4 2026. DPO liderado por fundadores que gestiona cada solicitud en menos de 30 días.
Pilar 06
Sin entrenamiento sin consentimiento
Los datasets públicos entrenan Match y Vision. Los datos privados de clubes miembros se cifran con claves por club y nunca se usan para entrenar modelos cruzados sin consentimiento por escrito.
La lista completa, por área.
Si tu equipo de seguridad tiene un cuestionario de procurement, esta sección responde aproximadamente el 70 %. Rellenamos el resto con gusto.
Autenticación y acceso
- OTP magic-link de Supabase, TOTP por llave hardware opcional
- Matriz de permisos por rol aplicada en middleware + RLS
- Los admins de club controlan invitación, rol y revocación
- Caducidad de sesión: 7 días en inactividad, 30 días absolutos, configurable por org
Protección de datos
- AES-256-GCM en reposo para columnas sensibles (PII, biometría)
- TLS 1.3 en tránsito, HSTS preload, solo cifradores modernos
- Sobres de claves por club para flujos privados de GPS/biometría
- Seguridad a nivel de fila en Postgres para cada tabla de ámbito de club
Seguridad de aplicación
- Content-Security-Policy estricto + Trusted Types
- Validación de entrada en cada endpoint (allowlist, longitud máx., coerción de tipos)
- Solo prepared statements — nada de concatenación de strings en SQL
- Dependabot + secret scanning activos en cada commit
Operacional
- Pentest trimestral por una firma independiente (a partir del año 2)
- Ingenieros con verificación de antecedentes; sin contratistas offshore con acceso a producción
- Backups cifrados, retención 30 días, probados trimestralmente
- Runbook de respuesta a incidentes con rotación de fundador on-call
Privacidad
- Solicitudes GDPR + KVKK Artículo 15/Artículo 17 atendidas en menos de 30 días
- Sin reventa de datos. Sin tracking publicitario. Sin analítica entre contextos.
- Residencia de datos en región UE disponible desde el tier Analyst
- Borrado de datos a petición: 30 días de soft delete, luego borrado criptográfico
Aquello en lo que no transigimos.
Vender o compartir tus datos.
Sin reventa de datos, sin partnerships con brokers, sin datasets “anonimizados” en la trastienda. Tu plantilla es tuya.
Entrenar modelos con datos privados sin consentimiento.
Las entradas privadas de clubes miembros (GPS, biometría, médicas) no entrenan ningún modelo. Punto. Los datasets públicos están públicamente declarados.
Leer tus mensajes del Deal Room.
La mensajería del Deal Room está cifrada extremo a extremo. Aunque lo solicitara una orden judicial, no podríamos producir el contenido.
Enterrar incidentes.
Cualquier incidente de seguridad que afecte a datos de miembros se comunica a los clubes afectados en menos de 72 horas, con un post-mortem por escrito en menos de 14 días.
¿Encontraste un fallo? Queremos saberlo.
Operamos un programa abierto de divulgación responsable. Escribe a security@scoutatlas.co con detalles y pasos de reproducción. Respondemos en menos de 48 horas y damos crédito a los investigadores en el changelog cuando los parches salen.