Seguridad
Seriedad silenciosa.
La seguridad de Nuray debe sentirse como parte del producto: discreta, rápida, mantenible y preparada para crecer.
Última actualización: 12 de mayo de 2026
Medidas actuales
- Validación server-side con Zod en formularios y APIs públicas.
- Rate limiting por IP para leads, reservas, chat y voz.
- Honeypot en formulario de contacto.
- Autenticación interna con Supabase Auth y lista de emails autorizados.
- Headers de seguridad, CSP base, HSTS, política de permisos y referrer policy.
Protección de datos
Los secretos se mantienen server-side. Las claves públicas con prefijo NEXT_PUBLIC se consideran visibles en navegador y no deben usarse para credenciales privadas. Los logs evitan imprimir emails en claro cuando existe helper de hashing.
IA y automatizaciones
Las llamadas a IA se hacen desde el servidor. Los datos enviados a modelos deben limitarse al contexto necesario. Antes de conectar CRM, pagos o dashboards de cliente, conviene clasificar datos y definir retención por tipo de información.
Reporte responsable
Si detectas una vulnerabilidad real, escríbenos a contacto@nuray.es con pasos de reproducción, impacto y cualquier evidencia mínima necesaria. No explotes datos de terceros ni interrumpas el servicio.
Siguiente nivel
Antes de pagos, descargas privadas o portal de clientes, la base debe ampliarse con webhooks firmados, control de licencias, auditoría de eventos, backups probados, RLS revisado y criterios de acceso por rol.