Seguridad · v1 · 4 de mayo de 2026

Tus números fiscales, en tu máquina.

Cuadralo es un producto fiscal: maneja CUITs, claves de AFIP, credenciales de homebanking, certificados WSAA, comprobantes A/B/C y movimientos de cuenta. Esta página explica cómo lo protegemos — y, sobre todo, lo que no hacemos con tus datos.

1. Local-first como decisión de arquitectura

El agente de Cuadralo corre en tu equipo (Mac, Linux, Windows o un servidor que vos controles). El agente es lo que sincroniza con AFIP y con tu banco. Eso significa que:

• Las claves de AFIP, las credenciales de homebanking y los certificados X.509 de WSAA no salen de tu máquina.
• Si vos desinstalás el agente, esos secretos se borran. No quedan copias en nuestros servidores.
• El dashboard web habla con tu agente vía un canal autenticado (WebSocket sobre TLS 1.3 con tokens rotativos).

2. Encriptación de credenciales

Las credenciales que el agente guarda localmente se cifran con libsodium (XChaCha20-Poly1305) o age (X25519 + ChaCha20-Poly1305) — tu sistema operativo decide cuál según disponibilidad del keychain.

• En macOS: las claves maestras viven en el Keychain y se desbloquean con tu usuario.
• En Linux: usamos libsecret o age con passphrase si no hay keyring.
• En Windows: DPAPI + libsodium.

El agente nunca envía la clave maestra, ni los secretos derivados, a nuestros servidores. Periódicamente rotamos los tokens de sesión del agente (cada 15 minutos por default).

3. Datos en tránsito y at-rest

• En tránsito: TLS 1.3, HSTS, certificate pinning para nuestras APIs.
• At-rest (nuestros servidores): AES-256-GCM. Backups encriptados client-side antes de subir a S3.
• At-rest (tu máquina): SQLite + SQLCipher con clave derivada de tu sesión.

4. Lo que NO hacemos

Esto importa tanto como lo que sí hacemos:

• No leemos tu mail personal. El procesador de mails del contador solo accede a una dirección dedicada ([email protected]) o a una etiqueta específica que vos configurás.
• No subimos PDFs sin tu consentimiento. Cada origen de comprobantes se autoriza explícitamente. Podés mandar PDFs procesados localmente sin que nunca lleguen a la nube.
• No tocamos tus claves bancarias. Cuadralo no transfiere plata, no opera tu cuenta, no genera órdenes de pago. Solo lee movimientos.
• No usamos tus datos para entrenar modelos. Cuando procesamos un PDF con LLM (Anthropic / Google), pasa por una conexión con data processing addendum firmado y sin retención.
• No vendemos datos. Nunca. Nuestro modelo de negocio es la suscripción mensual.

5. Permisos de AFIP

Cuadralo usa los web services oficiales de AFIP (WSAA + WSFE + Mis Comprobantes) con tu certificado X.509. El certificado se genera en tu máquina, se firma con tu clave fiscal y queda local. AFIP solo ve operaciones autorizadas por vos (consulta de comprobantes, autorización de CAEs si emitís facturas desde Cuadralo). Nunca pedimos clave fiscal nivel 4 ni accesos administrativos del CUIT.

6. Integraciones bancarias

Cuando conectás un banco usamos:

• OAuth oficial donde existe (Mercado Pago, Wise, Brubank).
• Open Finance / BCRA APIs donde aplica.
• Scraping autenticado del homebanking donde los bancos no exponen API. En estos casos las credenciales se almacenan localmente cifradas y el agente las usa para iniciar sesión solamente en tu máquina — el dashboard nunca las ve.

Pedimos siempre el mínimo de permisos necesario para leer movimientos. No solicitamos permisos para transferir, modificar o cerrar cuentas.

7. Reporte de vulnerabilidades

Si encontrás una vulnerabilidad, escribinos a [email protected] con detalles reproducibles. Respondemos en menos de 48 hs hábiles.

• Tenemos política de safe harbor para investigación responsable: si actuaste de buena fe, no iniciamos acciones legales.
• Pagamos recompensas (USD 100 — 5.000 según severidad CVSS).
• Publicamos hall of fame con autorización del reportante.

Política completa en /.well-known/security.txt.

8. Auditoría y compliance

• Pen-test anual por firma externa especializada en fintech AR.
• Revisión interna de threat model con cada release mayor.
• Cumplimos Ley 25.326 de Datos Personales (Argentina) y nos alineamos voluntariamente a SOC 2 Type 1 (target 2027).

9. Continuidad y backups

Backups encriptados diarios y retención de 90 días. Tus datos se replican entre dos regiones (Hetzner Frankfurt + AWS Sao Paulo). Si el agente local se rompe, podés re-instalarlo y restaurar desde el cloud — sin perder vencimientos ni configuración.

10. Contacto

[email protected] · respuesta < 48 hs hábiles. PGP: clave pública en security.txt.