Seguridad y privacidad auditables
No listamos certificaciones que no tenemos. Esta página describe los controles de seguridad reales que Spot entrega hoy.
Multi-tenant por diseño
Cada equipo es dueño de sus datos. Todos los modelos aplican un scope global team_id en la capa ORM: no existe forma de que un equipo lea reproductores, layouts, assets o playlists de otro equipo.
Control de acceso por roles
Permisos granulares (recurso.acción) con roles predefinidos Propietario, Administrador, Editor, Operador y Visor. Define tus propios roles por equipo.
Pista de auditoría completa
Cada creación, actualización, borrado, publicación, comando y cambio en el equipo se registra con autor, IP y marca temporal. Consultable en Ajustes → Registro de auditoría.
Autenticación reforzada
Laravel Fortify con hashing de contraseñas de clase Argon2, throttling y emails verificados. El acceso a la API usa tokens Laravel Sanctum acotados por dispositivo.
Cifrado en tránsito
Solo HTTPS en producción. Las conexiones WebSocket usan wss:// con terminación TLS. La API de reproductor requiere canales autenticados y firmados.
Secretos cifrados en reposo
Las credenciales sensibles (claves API, tokens de integración) se cifran en la capa de aplicación con el cifrado autenticado de Laravel.
Sin datos de tarjeta en nuestros servidores
Stripe se ocupa de todo el alcance PCI. Guardamos identificadores de cliente y de suscripción, nunca números de tarjeta ni CVCs.
Analítica que respeta la privacidad
Analítica de producto vía Rybbit: sin cookies de terceros, sin tracking entre sitios, sin venta de datos.
Emparejamiento de dispositivos con OTP
Los reproductores se emparejan mediante códigos de un solo uso de corta duración ligados a un identificador persistente del dispositivo. Los dispositivos perdidos se desemparejan con un clic.
Caché offline, por diseño
Los reproductores siguen mostrando el último contenido cacheado si la red se cae. Las actualizaciones se descargan en segundo plano y solo se intercambian cuando están completamente listas.
Hacia dónde vamos
Las atestaciones formales SOC 2 / ISO 27001 están en la hoja de ruta. Las publicaremos aquí en cuanto las tengamos, no antes.