Pol铆tica de Seguridad
脷ltima actualizaci贸n: 11 de febrero de 2026
En ApneaStatic, nos tomamos en serio la seguridad de los datos de nuestros usuarios. Este documento describe nuestras pr谩cticas de seguridad, arquitectura y c贸mo informar sobre vulnerabilidades de seguridad.
1. Descripci贸n General de la Arquitectura
ApneaStatic est谩 dise帽ado con una arquitectura local-first, lo que significa:
- Sin servidores backend: No operamos ning煤n servidor que almacene o procese sus datos. La app funciona completamente en su dispositivo.
- Almacenamiento local: Todos los datos de entrenamiento, configuraci贸n e informaci贸n de perfil se almacenan en su dispositivo usando almacenamiento local cifrado (Capacitor Preferences).
- Sin base de datos: No existe una base de datos central que contenga datos de usuario.
- Sincronizaci贸n en la nube opcional: La copia de seguridad en la nube se realiza directamente entre su dispositivo y su cuenta personal de Google Drive, usando la autenticaci贸n OAuth 2.0 de Google.
2. Medidas de Seguridad de Datos
2.1 Autenticaci贸n
- Google Sign-In utiliza el protocolo OAuth 2.0 est谩ndar de la industria.
- Nunca vemos, almacenamos ni tenemos acceso a su contrase帽a de Google.
- Los tokens de autenticaci贸n se almacenan de forma segura en su dispositivo y se actualizan autom谩ticamente.
- Los tokens de acceso solo se usan para llamadas a la API de Google Drive y tienen alcance limitado a los permisos m铆nimos necesarios (solo carpeta de datos de aplicaci贸n).
2.2 Datos en Tr谩nsito
- Toda comunicaci贸n con servicios de Google (Sign-In, Drive, AdMob) utiliza cifrado HTTPS/TLS.
- La aplicaci贸n web se sirve solo mediante HTTPS.
- No se transmiten datos sensibles en texto plano.
2.3 Datos en Reposo
- En Android, los datos de la app se almacenan en el directorio de almacenamiento privado de la app, que est谩 aislado por el SO Android y no es accesible para otras apps.
- Los datos de copia de seguridad en la nube se almacenan en la carpeta de datos de aplicaci贸n oculta de su Google Drive, a la que solo ApneaStatic puede acceder.
- En la web, los datos se almacenan en el almacenamiento local del navegador, protegidos por la pol铆tica de mismo origen del navegador.
2.4 Seguridad de la App Android
- La app Android utiliza minificaci贸n y ofuscaci贸n de c贸digo (R8/ProGuard) en compilaciones de lanzamiento.
- La app sigue las mejores pr谩cticas de seguridad de Android para aplicaciones WebView.
- La app solo solicita los permisos m铆nimos necesarios para su funcionalidad.
- Todas las URL externas se abren usando mecanismos de intent seguros.
3. Permisos
ApneaStatic solicita solo los siguientes permisos de Android:
| Permiso | Finalidad |
|---|---|
| INTERNET | Requerido para Google Sign-In, copia de seguridad en la nube y anuncios |
| ACCESS_NETWORK_STATE | Verificar conectividad de red antes de sincronizar |
| WAKE_LOCK | Mantener la pantalla encendida durante las sesiones de entrenamiento |
| FOREGROUND_SERVICE | Continuar el temporizador de entrenamiento cuando la app est谩 en segundo plano |
| FOREGROUND_SERVICE_MEDIA_PLAYBACK | Audio en segundo plano para la gu铆a de voz de entrenamiento |
| MODIFY_AUDIO_SETTINGS | Controlar el volumen de la gu铆a de voz |
| READ_MEDIA_AUDIO | Acceder a archivos de m煤sica de fondo (funci贸n premium) |
| BILLING | Procesar compras de suscripci贸n premium |
4. Seguridad de Terceros
Nos integramos con los siguientes servicios de terceros, cada uno con sus propias medidas de seguridad:
- Google (OAuth, Drive, AdMob): Google mantiene pr谩cticas de seguridad l铆deres en la industria incluyendo cumplimiento SOC 2, ISO 27001. Seguridad de Google Cloud
- RevenueCat: Conforme con SOC 2 Tipo II. Procesa datos de suscripci贸n de forma segura. Seguridad de RevenueCat
- Firebase: Parte de Google Cloud, hereda la infraestructura de seguridad de Google.
5. Divulgaci贸n de Vulnerabilidades
ApneaStatic es un proyecto de tiempo libre desarrollado y mantenido por un desarrollador individual. Acogemos la divulgaci贸n responsable de vulnerabilidades de seguridad y agradecemos su paciencia con los tiempos de respuesta.
Si descubre un problema de seguridad en ApneaStatic, por favor:
- Env铆enos un correo electr贸nico a info@apneastatic.com con una descripci贸n de la vulnerabilidad.
- Incluya pasos para reproducir el problema, la versi贸n afectada y cualquier captura de pantalla o registro relevante.
- No divulgue p煤blicamente la vulnerabilidad antes de que hayamos tenido tiempo razonable para abordarla.
- No acceda, modifique o elimine datos de otros usuarios como parte de sus pruebas.
Tenga en cuenta: No ofrecemos recompensas por bugs en este momento. Sin embargo, estamos encantados de reconocer a los investigadores de seguridad en nuestras notas de lanzamiento (con permiso) y apreciamos profundamente la divulgaci贸n responsable.
7. Actualizaciones y Mantenimiento de la App
Como proyecto de tiempo libre, las actualizaciones se lanzan seg煤n el mejor esfuerzo posible. Nos esforzamos por abordar los problemas de seguridad con prontitud, pero la frecuencia de actualizaci贸n depende del tiempo disponible y la gravedad.
Recomendamos:
- Usar siempre la 煤ltima versi贸n de la app desde Google Play Store.
- Habilitar actualizaciones autom谩ticas en su dispositivo.
- Mantener su sistema operativo Android actualizado.
8. Responsabilidades del Usuario
Para proteger sus datos, recomendamos:
- Usar una contrase帽a fuerte y autenticaci贸n de dos factores en su cuenta de Google.
- Mantener el sistema operativo y las apps de su dispositivo actualizados.
- No compartir su dispositivo con personas no confiables.
- Usar la funci贸n de exportaci贸n de datos de la app para mantener copias de seguridad personales de datos de entrenamiento importantes.
- Revisar peri贸dicamente los permisos otorgados a la app en la configuraci贸n de su dispositivo.
9. Contacto
Para consultas relacionadas con seguridad o para informar de una vulnerabilidad:
Correo Electr贸nico de Seguridad: info@apneastatic.com
Soporte General: info@apneastatic.com