Seguridad y confianza

Cómo QLAC protege datos, proyectos, informes y accesos sin prometer certificaciones no obtenidas ni riesgo cero.

Información legal publicada para QLAC Audit.

Última actualización: 2026-05-11

1. Principio de seguridad

QLAC está diseñado para tratar información técnica de proyectos con separación entre consola interna y portal cliente, permisos por rol, validaciones de ownership y trazabilidad de acciones sensibles.

2. Acceso y aislamiento

Backoffice reservado a perfiles internos autorizados.
Portal Cliente separado por rutas, layouts, policies y datos filtrados.
Los clientes solo deben ver proyectos, informes, documentos y evidencias autorizadas para su tenant.
Descargas privadas por controlador autorizado, sin exponer rutas reales de storage.

3. Archivos, repositorios y evidencias

Los ZIPs y archivos de proyecto se tratan como no confiables. QLAC valida formato, tamaño, rutas peligrosas, symlinks, nested archives y almacenamiento privado. En flujos cliente no se ejecuta código subido.

GitHub y GitLab, cuando estén disponibles, deben usar consentimiento explícito, permisos mínimos, cifrado de tokens y revocación visible.

4. Auditorías y límites

Lighthouse se ejecuta con validación SSRF, colas, timeouts y almacenamiento privado de artefactos. Los resultados son datos de laboratorio y se etiquetan como tal. QLAC no presenta Lighthouse como certificación ni como medición directa de INP real.

5. Billing y datos de pago

Paddle actúa como proveedor de pago cuando el checkout está activo. QLAC guarda estados, planes, eventos y referencias necesarias para suscripción, pero no almacena tarjetas ni datos bancarios.

6. Transparencia

QLAC comunica medidas razonables, límites y responsabilidades. No afirma ISO 27001, SOC 2, OWASP certified, NIST certified ni seguridad absoluta salvo que exista una certificación real y verificable.