Seguridad

Proteccion de datos

• Row Level Security en tablas de Supabase con datos de usuario.
• Validacion de formularios en cliente y funciones de servidor.
• Operaciones sensibles mediante Edge Functions, no desde el cliente.
• Claves de servicio y secretos solo en variables de entorno de backend.

Proteccion web

• HTTPS obligatorio con HSTS.
• Content Security Policy para limitar scripts, conexiones y frames.
• Proteccion frente a clickjacking mediante frame-ancestors y X-Frame-Options.
• Cabeceras de permisos para bloquear camara, geolocalizacion y APIs no usadas.

Pagos

Los pagos web se redirigen a Stripe. Oposiwork no almacena numeros completos de tarjeta. En iOS y Android el pago se gestiona por App Store y Google Play.

Descargas

Los PDFs premium se entregan mediante URL firmada de corta duracion y control de descarga en servidor.

Reportar vulnerabilidades

Escribe a soporte@oposiwork.com con una descripcion clara, impacto estimado y pasos de reproduccion.