Actualizado el 2026-04-24
Seguridad y cumplimiento
Cuadra fue diseñado para no ver nunca el número completo de tarjeta y para que cada modificación en la operación quede registrada de forma verificable. Esta página resume cómo lo hacemos.
Tarjetas de pago — PCI-DSS SAQ-A
No procesamos, almacenamos ni transmitimos datos de tarjetas (PAN, CVV, expiración) en ningún sistema de Cuadra. Cuando pagas un plan o una suscripción, eres redirigido al checkout alojado de Recurrente, certificado PCI-DSS Nivel 1. Recurrente es el responsable del procesamiento de tarjetas; Cuadra solo recibe el resultado de la transacción (éxito/fallo + ID de referencia). Nuestro alcance regulatorio es SAQ-A.
Datos de clientes y operación
Toda comunicación con Cuadra usa TLS 1.2 o superior. Los datos en reposo viven en bases Postgres administradas (Neon) con encriptación de disco habilitada. Los archivos cargados (recibos, fotos de consentimiento) viven en Cloudflare R2, también encriptados en reposo. Aplicamos aislamiento por tenant a nivel de base de datos: cada consulta verifica el negocio activo del operador antes de devolver datos.
Audit log inmutable con cadena HMAC
Cada cambio operativamente significativo (apertura/cierre de caja, edición de orden, emisión o cancelación de DTE, ajuste de inventario) escribe una fila en el audit_log. Cada fila firma criptográficamente la anterior con HMAC-SHA256 bajo una clave diaria rotada automáticamente. Eliminar o modificar una fila quiebra la cadena y nuestro verificador lo detecta. Es un registro inmutable y auditable años después.
Reporte de vulnerabilidades
Si descubriste una vulnerabilidad en Cuadra, escríbenos a security@cuadra.gt. Respondemos en menos de 48 horas hábiles. No publiques el hallazgo hasta que lo hayamos corregido — es nuestra forma de proteger a los demás negocios mientras parchamos.