Aislamiento de Datos (Multi-Tenancy)
- Cada organización opera en un entorno completamente aislado. Es técnicamente imposible acceder a los datos de otro club.
- Los videos se almacenan en carpetas separadas por organización en infraestructura cloud.
- Las asociaciones pueden compartir videos explícitamente con clubes — ese acceso es controlado y revocable en cualquier momento.
- Todas las consultas a la base de datos llevan un filtro automático de organización. No existe una consulta "global" accidental.
Autenticación
- Contraseñas con hash bcrypt — el estándar de la industria. Nunca almacenamos contraseñas en texto plano.
- Doble Factor de Autenticación (2FA) — compatible con Google Authenticator y cualquier app TOTP estándar.
- Códigos de recuperación — 8 códigos de un solo uso por si perdés acceso a tu app de autenticación.
- Tokens de sesión seguros con expiración automática.
Control de Acceso
- Roles diferenciados: jugador entrenador analista staff — cada uno ve solo lo que le corresponde.
- Los jugadores nuevos requieren aprobación del administrador antes de acceder al sistema.
- Los videos tienen política de autorización individual — podés controlar quién ve cada video.
- El administrador puede revocar el acceso de cualquier usuario de forma inmediata.
Seguridad de Videos
- Videos alojados en infraestructura CDN empresarial de nivel global. Ningún video es accesible públicamente.
- Formatos aceptados verificados en servidor: mp4 mov avi webm mkv.
- Compartir entre asociación y clubes: acceso explícito, controlado, revocable en cualquier momento.
Sesiones y Cookies
- Cookies HTTP-only — no accesibles por JavaScript, protegiéndote de ataques XSS.
- SameSite: Lax — protección contra ataques CSRF.
- Cookies seguras en producción — solo se transmiten sobre HTTPS.
- Sesiones en base de datos — no solo en el cliente, con control total desde el servidor.
Cabeceras de Seguridad HTTP
- HSTS — fuerza HTTPS por 1 año, incluye subdominios.
- Content Security Policy (CSP) — controla de dónde se cargan scripts, estilos y videos.
- X-Frame-Options: SAMEORIGIN — previene ataques de clickjacking.
- X-Content-Type-Options: nosniff — evita interpretación incorrecta de tipos de archivo.
- Referrer-Policy — limita la información enviada al navegar a otros sitios.
- Permissions-Policy — cámara, micrófono y geolocalización deshabilitados por defecto.
Registro de Auditoría
- Todas las acciones administrativas quedan registradas con: usuario, IP, acción y timestamp.
- Los cambios de datos registran el estado anterior y posterior.
- Historial de cambios de organización activa por usuario.
- Tracking de visualizaciones de video: quién vio qué y cuándo.
Infraestructura
- Servidor dedicado en Europa con certificado SSL/TLS activo.
- Videos en CDN global con distribución geográfica para máxima disponibilidad.
- Backups automáticos de base de datos.
- Panel de super-administración protegido por whitelist de IPs — solo accesible desde IPs autorizadas.
Preguntas Frecuentes
¿Pueden otros clubes ver nuestros videos?
No. El sistema aplica aislamiento automático por organización en cada consulta. Es técnicamente imposible que un club acceda a los datos de otro sin una autorización explícita del dueño del contenido.
¿Qué pasa si un empleado o jugador deja el club?
El administrador puede revocar el acceso de cualquier usuario de forma inmediata desde el panel. Una vez revocado, el usuario pierde acceso instantáneamente, sin excepciones.
¿Están cifradas las contraseñas?
Sí. Las contraseñas se almacenan con hash bcrypt, el estándar de la industria. Ni nosotros mismos podemos ver tu contraseña. Si la olvidás, solo podés restablecerla, no recuperarla.
¿Puedo activar el doble factor de autenticación?
Sí, desde tu perfil podés activar 2FA usando cualquier app TOTP estándar (Google Authenticator, Authy, etc.). Recibirás 8 códigos de recuperación de un solo uso para emergencias.
¿Hay registro de quién vio qué video?
Sí. El sistema registra todas las visualizaciones de video con usuario y timestamp. Los administradores pueden ver este historial desde el panel.
¿Puedo descargar este documento como PDF?
Sí. Si sos administrador de tu organización podés descargar la versión PDF desde tu panel de administración, en la sección de configuración.
¿Tenés más preguntas sobre seguridad?
Nuestro equipo puede responder cualquier consulta técnica sobre cómo protegemos tus datos.
Contactar al equipo