Seguridad de la información

Versión 1.0 — Vigente desde el 14 de junio de 2026. Documento informativo sobre las prácticas de seguridad de Abakool.

1. Nuestro compromiso

En Abakool S.A. (CUIT 30-71942793-2) tratamos la información de tu empresa —comprobantes, datos fiscales, clientes, proveedores, stock y registros contables— como lo más valioso de la plataforma. Aplicamos medidas técnicas y organizativas razonables para protegerla contra accesos no autorizados, pérdida o alteración, en línea con la Ley N° 25.326 de Protección de los Datos Personales y las buenas prácticas de la industria.

Ningún sistema es completamente infalible, pero trabajamos para que la seguridad sea parte del diseño del producto y no un agregado posterior.

2. Infraestructura

Abakool funciona íntegramente en la nube de Google Cloud Platform (GCP), uno de los proveedores de infraestructura más exigentes del mundo en materia de seguridad física y lógica:

• La aplicación corre en Cloud Run (cómputo gestionado, sin servidores que mantener manualmente).
• Los datos se almacenan en Cloud SQL (PostgreSQL) administrado, con la base de producción aislada de los entornos de desarrollo y prueba.
• La infraestructura está alojada en la región southamerica-east1 (San Pablo, Brasil), dentro de centros de datos certificados de Google.

No exponemos la base de datos a Internet: el acceso se realiza únicamente a través de conexiones autenticadas y cifradas.

3. Cifrado

• En tránsito: todo el tráfico entre tu navegador y Abakool viaja sobre HTTPS/TLS. Las páginas y las API rechazan conexiones no cifradas.
• En reposo: los datos almacenados en la infraestructura de Google Cloud se cifran de forma transparente a nivel de plataforma.
• Contraseñas: nunca se guardan en texto plano. Se almacenan con funciones de hash criptográfico, de modo que ni siquiera Abakool puede leer tu contraseña original.

4. Aislamiento entre empresas (multi-tenant)

Cada empresa (identificada por su CUIT) opera en un espacio de datos lógicamente aislado del resto. Además del filtrado por empresa en cada consulta, aplicamos políticas de seguridad a nivel de fila (Row Level Security) en la base de datos para tablas sensibles, de manera que los datos de una empresa no puedan ser leídos ni modificados desde el contexto de otra, incluso ante un error de programación.

5. Control de accesos y roles

El acceso dentro de cada empresa se rige por un sistema de control de accesos basado en roles (RBAC). Cada usuario recibe un rol —por ejemplo Dueño, Administrador, Vendedor, Contador o Visualizador— y cada rol habilita únicamente las acciones y los módulos que le corresponden (vender, comprar, ver reportes, administrar usuarios, etc.). Así, cada persona accede solo a lo que necesita para su tarea.

6. Autenticación y sesiones

• Las sesiones se gestionan con cookies seguras (HttpOnly, Secure y SameSite), que reducen el riesgo de robo de sesión y de ataques de tipo CSRF y XSS.
• Cuando cambiás tu contraseña, se restablece tu acceso o se da de baja a un usuario, revocamos automáticamente los dispositivos y tokens asociados en la misma operación, para que un acceso anterior no siga vigente.
• Validamos el origen de las solicitudes que modifican datos como defensa adicional contra falsificación de peticiones.

7. Registros de auditoría

La plataforma mantiene registros de actividad (logs) de las operaciones relevantes y de los accesos, necesarios para la seguridad, el diagnóstico de incidentes y el cumplimiento de obligaciones legales y fiscales.

8. Copias de seguridad y continuidad

Realizamos copias de seguridad periódicas de la información mediante los mecanismos administrados de Google Cloud SQL, lo que nos permite recuperar datos ante un incidente. Esto no exime al Usuario de mantener sus propios resguardos de la información crítica (por ejemplo, exportaciones de comprobantes y reportes).

9. Integraciones con terceros

• ARCA: la emisión de comprobantes electrónicos se realiza mediante certificados digitales y conexiones seguras a los servicios de ARCA. Solo se intercambia la información estrictamente necesaria para facturar, por instrucción del Usuario.
• Mercado Pago: los pagos se procesan directamente en Mercado Pago. Abakool no almacena los datos completos de tarjetas; a lo sumo conserva datos no sensibles, como los últimos cuatro dígitos y el identificador de la suscripción.

10. Gestión de incidentes

Ante un incidente de seguridad relevante, actuamos para contenerlo, evaluar su alcance y, cuando corresponda, notificar a los usuarios afectados y a la autoridad de aplicación conforme a la normativa vigente. Mantenemos canales para recibir y atender reportes con rapidez.

11. Responsabilidad compartida

La seguridad es una tarea conjunta. Te recomendamos:

• Usar una contraseña fuerte y única para Abakool y no compartirla.
• Asignar a cada persona de tu equipo su propio usuario y rol (evitar cuentas compartidas).
• Cerrar sesión en dispositivos que no controlás y revisar periódicamente los usuarios con acceso.
• Avisarnos de inmediato ante cualquier actividad sospechosa.

12. Reporte de vulnerabilidades

Si detectaste una posible vulnerabilidad o un problema de seguridad, escribinos a soporte@abakool.com con el mayor detalle posible. Agradecemos la divulgación responsable y nos comprometemos a revisar cada reporte y a responder a la brevedad. Te pedimos no explotar la falla ni acceder a datos de otras empresas mientras la analizamos.

13. Contacto

• Seguridad y reporte de incidentes: soporte@abakool.com

Este documento describe prácticas generales de seguridad y puede actualizarse a medida que evoluciona la plataforma. Para el tratamiento de datos personales, ver también la Política de Privacidad.