Seguridad
ScanRaise maneja donaciones y listas escolares. Mantener esos datos seguros es el estándar que debemos cumplir, no una característica opcional. Esto es lo que realmente hacemos.
Última actualización: 24 de abril de 2026
Copias de seguridad y recuperación
- Respaldos automáticos diarios de la base de datos Postgres, ejecutados a las 09:00 UTC por un servicio cron dedicado en Railway.
- Almacenados fuera del sitio en un bucket privado de Backblaze B2 separado de nuestro proveedor de base de datos. Una interrupción de un solo proveedor no puede perder sus datos.
- Cifrados en tránsito (TLS) y cifrados en reposo por el proveedor de almacenamiento.
- Verificación de integridad en cada ejecución: suma de verificación gzip más controles de recuento de filas en tablas clave (organizaciones, campañas, donaciones, registros de auditoría).
- Retención limitada con eliminación automática de archivos antiguos: conservamos lo necesario para recuperar, no un archivo permanente.
- Alertas de fallos: si una ejecución falla, se envía inmediatamente un correo a la dirección de operaciones.
Seguridad de pagos
- Todos los pagos son procesados por Stripe. ScanRaise nunca almacena, transmite ni tiene acceso a números completos de tarjeta ni datos bancarios.
- El cumplimiento PCI-DSS para el manejo de tarjetas es responsabilidad de Stripe (certificados al nivel más alto, PCI-DSS Nivel 1).
- Las donaciones van directamente a la cuenta Stripe Connect de la organización. ScanRaise cobra una comisión de plataforma del 2.5% y nunca retiene su dinero en depósito.
- Cada webhook entrante de Stripe se verifica criptográficamente por firma antes de modificar el estado en nuestro sistema.
Seguridad de la cuenta
- Sin contraseñas. El inicio de sesión es mediante enlace mágico por correo electrónico de un solo uso o con una passkey (WebAuthn): las mismas credenciales de Touch ID / Face ID / Windows Hello almacenadas en su dispositivo.
- Al no haber contraseña, no hay nada que podamos filtrar, ni que un atacante pueda suplantar o reutilizar desde otra filtración.
- Las cookies de sesión son HttpOnly, firmadas con HMAC y limitadas a scanraise.com. No contienen secretos, solo una referencia a una sesión en el servidor que puede revocarse en cualquier momento.
- Tiempos de espera por inactividad: 30 minutos para usuarios de la organización, 15 minutos para administradores de la plataforma.
- Límites de velocidad en cada endpoint de autenticación: las solicitudes de enlaces mágicos están limitadas a 5 por minuto por IP.
Escuelas, estudiantes y datos estudiantiles
- Proveedor registrado en SDPC (Student Data Privacy Consortium).
- Cumple con COPPA y FERPA: la plataforma está diseñada para que los participantes sean identificados solo por nombre y apellido inicial, ingresados por organizadores adultos, nunca directamente por niños.
- Integraciones con Clever SSO y ClassLink SSO para distritos K-12 que ya tienen un proveedor de identidad y lista.
- No vendemos ni compartimos datos estudiantiles con anunciantes, comerciantes o intermediarios de datos. Nunca.
- Si un distrito o escuela nos pide eliminar sus datos, lo hacemos y avisamos cuando está completado.
Transporte y plataforma
- HTTPS en todas partes con HSTS y precarga: los navegadores se negarán a conectarse a ScanRaise por HTTP simple.
- Content-Security-Policy estricta en cada respuesta HTML: sin scripts en línea, sin
unsafe-eval, solo orígenes permitidos. - Cabeceras de respuesta reforzadas:
X-Frame-Options: DENY,X-Content-Type-Options: nosniff,Referrer-Policy,Permissions-Policy. - Ejecutamos una suite de pruebas activa en cada cambio; la prueba de penetración externa más reciente se ejecutó el 14-04-2026 y todos los hallazgos se corrigieron antes del lanzamiento.
Integridad del correo
- SPF, DKIM y DMARC están configurados y se validan en nuestros dominios de envío, para que los servidores receptores puedan verificar que un correo realmente proviene de ScanRaise.
- Todo el correo transaccional (enlaces mágicos, recibos de donaciones, notificaciones) se envía a través de un remitente verificado. No entregamos su lista de donantes a herramientas de marketing externas.
Seguro
- StanHattie LLC, que opera ScanRaise, cuenta con cobertura de Responsabilidad Civil General y Errores & Omisiones a través de Next Insurance. Verificar cobertura.
Reportar una vulnerabilidad
¿Encontró algo que parece extraño? Escriba a support@scanraise.com con [Security] en el asunto. Aún no ofrecemos un programa de recompensas por errores, pero leemos cada reporte, lo revisamos rápido y damos crédito a la divulgación responsable aquí cuando el reportante lo autoriza.
Esta página describe cómo opera ScanRaise hoy (). La actualizaremos cuando cambie algo relevante; la fecha de última actualización arriba es la fuente de verdad.