Seguridad

Politica de Seguridad, Disponibilidad y Soporte de SIRMENU

Última actualización: Mayo 2026

1. Medidas de seguridad

SIRMENU implementa medidas tecnicas y organizativas razonables para proteger la plataforma y los datos de sus usuarios. Estas medidas incluyen:

1.1 Infraestructura

•Hosting en proveedores de nube con certificaciones de seguridad reconocidas (Vercel, Supabase).
•Comunicaciones cifradas mediante HTTPS/TLS en todos los endpoints publicos y privados.
•Base de datos con cifrado en reposo y en transito.
•Tokens de autenticacion con expiración automatica.
•Row Level Security (RLS) en base de datos: cada negocio solo puede acceder a sus propios datos.

1.2 Autenticacion

•Sistema de autenticacion gestionado por Supabase Auth con estandares de la industria.
•Contrasenas almacenadas con hash seguro (bcrypt); SIRMENU no tiene acceso a contrasenas en texto plano.
•Sesiones con tokens JWT de corta duracion con renovacion automatica.
•Opcion de cierre de sesion remoto ante sospecha de acceso no autorizado.

1.3 Aislamiento de datos

•Arquitectura multi-tenant: cada restaurante tiene sus datos completamente aislados de los demas.
•Las consultas a la base de datos incluyen filtros obligatorios por tenant_id.
•Los archivos subidos (imagenes, certificados) se almacenan en buckets con acceso restringido por tenant.

2. Credenciales y acceso

2.1 Responsabilidad del negocio

El negocio es responsable de mantener la seguridad de sus credenciales de acceso al panel de administracion. Esto incluye:

•Usar contrasenas robustas (minimo 8 caracteres, combinando letras, numeros y simbolos).
•No compartir credenciales de acceso con personas no autorizadas.
•No usar la misma contrasena en multiples servicios.
•Cerrar sesion en dispositivos compartidos o publicos.
•Notificar a SIRMENU de inmediato ante cualquier sospecha de acceso no autorizado.

2.2 Roles y permisos

SIRMENU implementa un sistema de roles para controlar el acceso a las funcionalidades:

•Superadmin: acceso total a la plataforma (solo equipo SIRMENU).
•Admin: acceso completo al panel del negocio, configuracion y reportes.
•Cajero: acceso limitado a caja, pedidos y gestion de mesas.
•Cocina: acceso de solo lectura a pedidos activos.

2.3 Certificado de firma electronica

3. Proteccion de datos

Los datos almacenados en SIRMENU incluyen informacion del negocio, del personal, del menu y de los clientes finales del restaurante. SIRMENU aplica las siguientes practicas:

•Copias de seguridad automaticas de la base de datos (frecuencia segun plan del proveedor de hosting).
•Acceso a datos de produccion restringido al equipo tecnico de SIRMENU con justificacion documentada.
•Logs de acceso y actividad en operaciones criticas.
•Datos de clientes finales del restaurante procesados segun la Ley Organica de Proteccion de Datos Personales (LOPDP) de Ecuador.
•Al cancelar la suscripcion, los datos se mantienen por 30 dias para permitir exportacion, luego son eliminados.

Para mas informacion sobre el tratamiento de datos personales, ver la Politica de Privacidad.

4. Disponibilidad del servicio

4.1 Objetivo de disponibilidad

SIRMENU tiene como objetivo mantener una disponibilidad del servicio superior al 99% mensual, excluyendo ventanas de mantenimiento programado y eventos de fuerza mayor.

4.2 Dependencias de terceros

La disponibilidad total de SIRMENU depende de servicios de terceros, incluyendo:

•Vercel (hosting y CDN): infraestructura de despliegue.
•Supabase (base de datos y autenticacion): almacenamiento y sesiones.
•Meta / WhatsApp Business API: funcionalidades de mensajeria.
•SRI de Ecuador: autorizacion de comprobantes electronicos.
•Proveedores de correo electronico: notificaciones y alertas.

SIRMENU no puede garantizar la disponibilidad de estos servicios externos y no se responsabiliza por interrupciones causadas por ellos.

En caso de una interrupcion superior a 72 horas continuas por causas imputables a SIRMENU, el negocio puede solicitar un credito proporcional a los dias afectados segun la Politica de Pagos.

5. Niveles de soporte

SIRMENU ofrece soporte tecnico a todos los negocios activos. El nivel de atencion varia segun el plan contratado:

Canal	Plan Basico	Plan Pro	Plan Premium
Correo electronico	✓ (72 h habiles)	✓ (24 h habiles)	✓ (8 h habiles)
WhatsApp	—	✓ (horario laboral)	✓ (prioritario)
Onboarding guiado	—	—	✓

Horario de atencion: lunes a viernes, 9:00 - 18:00 (hora Ecuador, GMT-5). Los tiempos de respuesta son objetivos y no constituyen un SLA garantizado.

6. Gestion de incidentes

6.1 Clasificacion

•Critico: plataforma completamente inaccesible o perdida de datos. Atencion inmediata, actualizacion cada hora.
•Alto: funcionalidad clave afectada (pedidos, caja, facturacion). Atencion en menos de 4 horas.
•Medio: funcionalidad secundaria afectada o degradada. Atencion en 1 dia habil.
•Bajo: inconvenientes menores, consultas o mejoras. Atencion en 3 dias habiles.

6.2 Notificacion de brechas de seguridad

En caso de una brecha de seguridad que afecte datos personales de los negocios o sus clientes, SIRMENU notificara a los afectados en un plazo no mayor a 72 horas desde que tome conocimiento del incidente, conforme a los requisitos de la LOPDP.

7. Mantenimiento programado

SIRMENU puede realizar mantenimientos programados que requieran interrupciones temporales del servicio. En estos casos:

•Se notificara a los negocios activos con al menos 48 horas de anticipacion por correo electronico.
•Los mantenimientos se programan preferentemente en horarios de baja actividad (madrugada, hora Ecuador).
•La duracion estimada de la interrupcion se comunicara en la notificacion.
•Los mantenimientos de emergencia pueden realizarse sin previo aviso ante vulnerabilidades criticas de seguridad.

8. Reporte de vulnerabilidades

Si descubres una vulnerabilidad de seguridad en la plataforma SIRMENU, te pedimos que la reportes de forma responsable:

•Envia un correo a sirmenu.web.app@gmail.com con el asunto “Vulnerabilidad de seguridad”.
•Describe el problema con suficiente detalle para que podamos reproducirlo.
•No publiques ni compartas la vulnerabilidad hasta que hayamos tenido oportunidad de corregirla.
•No accedas ni modifiques datos de otros negocios durante tu investigacion.

SIRMENU se compromete a revisar cada reporte de forma confidencial y a comunicar el resultado al investigador que lo reporto. Valoramos y agradecemos las contribuciones responsables a la seguridad de nuestra plataforma.

9. Limitaciones de responsabilidad

SIRMENU no se hace responsable de:

•Perdida de datos causada por uso incorrecto de la plataforma por parte del negocio.
•Acceso no autorizado a cuentas por credenciales comprometidas del lado del negocio.
•Danos derivados de interrupciones en servicios de terceros (Meta, SRI, Vercel, Supabase).
•Perdida de informacion no descargada antes del vencimiento del plazo tras cancelar la suscripcion.
•Incidentes de seguridad causados por dispositivos del negocio infectados con malware.
•Ataques de fuerza bruta o phishing dirigidos al personal del negocio.

La seguridad es una responsabilidad compartida. SIRMENU protege la infraestructura y los datos en su plataforma; el negocio es responsable de proteger sus credenciales, dispositivos y el acceso de su personal.

10. Contacto

Para reportar incidentes de seguridad, vulnerabilidades o consultar sobre esta politica:

Contacto

📧 sirmenu.web.app@gmail.com

📱 +593 987 370 217

🌍 Ecuador