Checkify
Confianza y seguridad

Seguridad

Checkify está diseñado para reducir la exposición de datos: los datos personales permanecen en el dispositivo del usuario, y las empresas pueden verificar sin convertirse en custodios de datos a largo plazo.

Controles de seguridad Divulgación responsable

Esta página describe nuestro enfoque de seguridad a un alto nivel. Los controles exactos pueden variar según los requisitos de implementación e integración.

Principios de seguridad

Minimizar la custodia de datos

Utilizar pruebas (por ejemplo, “mayores de 18”) en lugar de datos personales sin procesar. Los usuarios deben dar su consentimiento explícito para compartir datos.

Autenticación sólida

Las identidades vinculadas al dispositivo, la protección biométrica/PIN y los tokens de tiempo limitado reducen la apropiación de cuentas y el riesgo de reproducción.

Defensa en profundidad

Controles en capas en el almacenamiento del dispositivo, criptografía, seguridad del transporte, protecciones del servidor y auditabilidad.

Clave controles

Creado para la verificación de la privacidad primero

1) Almacenamiento primero en el dispositivo

  • Los datos personales se almacenan en el dispositivo del usuario de forma predeterminada.
  • Protegido mediante almacenamiento seguro del sistema operativo y mecanismos de bloqueo del dispositivo.
  • Acceso controlado por PIN y controles biométricos cuando sea compatible.

2) Criptografía y Integridad

  • Las solicitudes y respuestas están firmadas para que sean a prueba de manipulaciones.
  • Las solicitudes por tiempo limitado reducen el riesgo de reproducción.
  • Los ID de referencia permiten la trazabilidad sin exponer datos innecesarios.

3) Seguridad del transporte

  • Tráfico cifrado en tránsito (TLS) para la aplicación, API y el panel flujos.
  • El alcance de los tokens y su corta vida útil reducen la exposición si se interceptan.
  • Validación estricta de solicitudes y verificación de firmas del lado del servidor.

4) Autenticación y autorización

  • Sesiones basadas en JWT para APIs y acceso al panel de negocios.
  • Acceso basado en roles para acciones comerciales (por ejemplo, crear solicitudes, ver registros).
  • Acciones comerciales vinculadas a una identidad de usuario verificada.

5) Registro listo para auditoría

  • Los eventos incluyen marcas de tiempo, resultados y referencias a solicitudes/respuestas.
  • Diseñado para investigaciones e informes de cumplimiento.
  • Los registros evitan datos personales innecesarios siempre que sea posible.

6) Refuerzo de la plataforma

  • Limitación de velocidad y prevención de abuso en puntos finales sensibles.
  • Monitoreo y alerta de actividad inusual.
  • Actualizaciones periódicas de dependencia y revisión de seguridad de flujos críticos.

Divulgación selectiva (lo que las empresas pueden solicitar)

Las empresas pueden solicitar pruebas específicas (por ejemplo, umbral de edad, residencia, elegibilidad) y, opcionalmente, solicitar puntos de datos específicos. Los usuarios ven la solicitud completa y deben dar su consentimiento explícito antes de compartir algo. Checkify está diseñado para admitir flujos de prueba primero para minimizar la exposición de datos.

Las amenazas que diseñamos contra

Reproducción y abuso de QR

Las solicitudes que caducan, la verificación del servidor y las cargas firmadas reducen el valor de los códigos copiados/reenviados.

Cuenta adquisición

Identidad vinculada al dispositivo + verificaciones biométricas/PIN + tokens de corta duración ayudan a prevenir el acceso no autorizado.

Recopilación excesiva de datos

Los flujos de prueba primero y el consentimiento explícito reducen la probabilidad de que se almacenen datos confidenciales donde no son necesarios.

Preguntas frecuentes sobre seguridad

¿Almacena datos personales en su ¿Servidores?

Checkify está diseñado para que los datos personales permanezcan en el dispositivo del usuario de forma predeterminada. Cuando se requieren datos del lado del servidor por razones operativas (por ejemplo, eventos de auditoría, solicitudes de referencias), minimizamos los datos personales y nos centramos en pruebas y metadatos.

¿Puede una empresa solicitar detalles específicos del usuario?

Sí, las empresas pueden solicitar pruebas específicas y, si es necesario, puntos de datos específicos. Los usuarios revisan cada solicitud y deben dar su consentimiento explícito antes de compartir algo.

¿Cómo se evita la manipulación?

Las solicitudes y respuestas están diseñadas para ser verificables criptográficamente, tener un límite de tiempo y ser validadas por el receptor. Esto hace que la manipulación sea detectable y reduce el valor de repetición.

Divulgación responsable

Si cree que ha encontrado una vulnerabilidad de seguridad, infórmelo de manera responsable. Revisaremos los informes con prontitud y trabajaremos con usted para validar y solucionar los problemas.

Cómo informar

  • Correo electrónico: security@checkify.me (recomendado)
  • Incluya pasos para reproducir, impactar y cualquier evidencia de respaldo
  • Evite acceder o modificar datos reales del usuario

Qué sucede a continuación

  • Nosotros acusar recibo y clasificar el informe
  • Validamos, reparamos e implementamos mitigaciones según corresponda
  • Podemos coordinar el momento de divulgación pública si es necesario

¿Aún no tienes un correo electrónico de seguridad dedicado? Reemplácela con una dirección monitoreada que usted controle.