Una referencia concisa para equipos de compras, TI y seguridad. Publicamos lo que está implementado hoy y lo que está en el roadmap — sin afirmaciones vagas.
Tapify es un SaaS multitenant que emite pases para Apple Wallet, Google Wallet y pases web, y opera programas de fidelización sobre ellos. Cada workspace de comercio está aislado por identificadores de tenant y seguridad a nivel de fila.
La aplicación se entrega por HTTPS y la autenticación se gestiona con Supabase Auth (código por email). Las sesiones son de corta duración y se renuevan en una capa proxy del lado del servidor.
Los datos de producción se almacenan en Postgres gestionado (Supabase) en la región de la UE por defecto. Regiones adicionales pueden discutirse con los equipos de compras bajo un acuerdo empresarial.
Las copias de seguridad están cifradas y se conservan con una rotación corta. Las transferencias entre regiones, si las hay, se rigen por cláusulas contractuales tipo.
Los pagos de suscripción de los comercios se procesan a través de Stripe. Los datos del titular de la tarjeta se gestionan dentro de la infraestructura PCI-DSS de Stripe, y Tapify nunca almacena números completos de tarjeta para esas transacciones.
El alcance propio de Tapify se limita a los identificadores de cuenta (IDs de cliente y de suscripción) que Stripe devuelve para reconciliar el estado de facturación.
Tapify se apoya en una lista corta de subprocesadores: Supabase (autenticación y base de datos), Resend (correo transaccional), Stripe (pagos) y los endpoints de entrega de pases operados por Apple y Google.
Cada subprocesador está vinculado por un acuerdo de tratamiento de datos. La lista actual, con regiones y finalidades, está disponible para los comercios bajo petición.
Seguimos buenas prácticas de la industria en control de acceso, cifrado en tránsito y desarrollo seguro. El acceso a producción es por roles, requiere MFA, y las operaciones privilegiadas se auditan.
Los secretos se guardan en una bóveda cifrada; los pipelines de CI usan tokens de corta duración; los cambios de código se revisan por pares antes de fusionarse.
Tapify actúa como encargado del tratamiento para los datos de cliente final que los comercios procesan en la plataforma, y como responsable del tratamiento para los datos de cuenta del comercio. Los roles y obligaciones se recogen en nuestro Anexo de Tratamiento de Datos.
Si designas un representante en la UE o en el Reino Unido bajo el RGPD, publicaremos aquí sus datos de contacto. Hasta entonces, dirige las solicitudes de derechos a través de Soporte.
El equipo de ingeniería gestiona los problemas de seguridad siguiendo un runbook de respuesta a incidentes documentado. Los incidentes confirmados que afecten a datos de comercios se notifican conforme a la ley aplicable y los compromisos contractuales.
Los investigadores pueden comunicar vulnerabilidades a través de la dirección publicada en /.well-known/security.txt. Nos comprometemos a acusar recibo de los reportes en cinco días hábiles.
No reclamamos certificaciones que no poseemos. Cuando hay trabajo en curso sobre SOC 2 o ISO 27001, se marca como roadmap con un trimestre objetivo en lugar de como entregado.
Los comercios con requisitos de auditoría específicos pueden solicitar, vía Soporte, nuestro resumen de controles más reciente y el roadmap vigente.
Podemos compartir nuestro Anexo de Tratamiento de Datos, la lista de subprocesadores y el resumen de controles bajo NDA.