Seguridad de nivel banco

Seguridad de nivel banco para tu negocio

Protegemos tu cuenta, tus datos y los de tus clientes con las mismas prácticas de seguridad que usan los bancos. Sin compromisos.

Ver detalles técnicos Reportar vulnerabilidad

12 capas de protección

Cada cuenta de Runbits está protegida por estas medidas — siempre activas, sin configuración.

Autenticación en dos pasos (2FA)

TOTP con apps como Google Authenticator. 10 códigos de respaldo de un solo uso.

Passkeys (FIDO2)

Inicio de sesión sin contraseña usando biometría — resistente al phishing.

AES-256-GCM

Tus secretos de 2FA se cifran en reposo con AES-256-GCM y derivación HKDF.

PBKDF2 600.000 iteraciones

Contraseñas hasheadas con PBKDF2-SHA256 a 600k iters — más allá del estándar OWASP.

Detección de contraseñas filtradas

Verificamos contra HIBP (k-anonymity) — bloqueamos contraseñas vistas en brechas.

Bitácora de auditoría

Cada acción sensible queda registrada con IP, user agent y timestamp.

Gestión de sesiones

Ves tus sesiones activas por dispositivo y podés cerrarlas individualmente.

Rotación de claves JWT

Soporte de KID en headers — podemos rotar la clave de firma sin romper tokens activos.

HTTPS + HSTS

TLS obligatorio en toda la infraestructura. HSTS con includeSubDomains.

Rate limiting

Límites estrictos por IP y por email en login, registro y recuperación de contraseña.

Protección OAuth CSRF

Token de estado de un solo uso vinculado a KV en flujos OAuth (Google, Facebook).

Cifrado en reposo

Toda la base de datos D1 está cifrada en reposo en la red de Cloudflare.

Cumplimiento normativo

Cumplimos con los estándares de protección de datos relevantes para tu negocio.

Cumplido

GDPR + Ley 25.326 (Argentina)

Cumplimos con el Reglamento General de Protección de Datos europeo y la Ley de Protección de Datos Personales argentina.

En curso

SOC 2 Type II

Estamos en proceso de auditoría SOC 2. Esperamos certificación durante 2026.

Reportá una vulnerabilidad

Si encontraste un problema de seguridad, escribinos directo. Respondemos en menos de 24 horas y reconocemos públicamente a quienes nos ayudan a proteger la plataforma.

security@runbits.io

PGP key disponible bajo pedido. No publiques el reporte hasta que confirmemos la corrección.