Tus datos — y los de tus clientes — están seguros con nosotros.
RealPilot está construido conforme al RGPD, con datos en centros de datos alemanes, inquilinos técnicamente aislados y una protección única anti-doble-representación que nunca intercambia datos de contacto en texto plano entre agentes.
Hosting UE (Frankfurt)
Base de datos, imágenes y archivos están físicamente en un centro de datos alemán. Los proveedores de EE. UU. (CDN de Cloudflare) solo ven HTML estático, nunca el contenido de tu base de datos.
Cifrado — en todas partes
TLS 1.2+ para cada conexión (como la banca online). Cifrado at-rest en la base de datos. Contraseñas almacenadas exclusivamente como hash bcrypt.
Hashes de cliente en lugar de texto plano
Los datos de contacto del cliente final se hashean adicionalmente. Otros agentes detectan la doble representación — pero nunca ven los datos reales en texto plano.
Base de datos en Alemania — servicio mundial
La base de datos central — incluyendo perfiles, clientes, inmuebles, cooperaciones e historial de chat — reside en un centro de datos en Frankfurt (Supabase eu-central-1). El contenido sensible permanece físicamente en la UE.
| Tipo de dato | Ubicación |
|---|---|
| Contenido de base de datos | Frankfurt (DE) — eu-central-1 |
| Imágenes y archivos | Frankfurt (DE) |
| Procesamiento de pagos (Stripe) | Dublín (IE) |
| Caché web (CDN Cloudflare) | Edge UE (sin acceso a base de datos) |
Tres capas de protección
Ya sea en tránsito, en reposo o como credencial de acceso — tus datos están siempre cifrados.
En tránsito
TLS 1.2+
Cada conexión a RealPilot va por HTTPS cifrado — el mismo estándar que la banca online.
En reposo
AES-256
La base de datos y el almacenamiento están cifrados en reposo. Incluso un soporte de copia de seguridad robado no serviría de nada.
Contraseñas
Hash bcrypt
Nunca almacenamos tu contraseña en texto plano. Solo un hash bcrypt con salt — no reversible.
Solo tú ves tus datos — y nosotros casi nunca.
Cada fila de la base de datos está bloqueada mediante Row Level Security (RLS) a su propietario (o a socios de cooperación expresamente autorizados). Ni siquiera el personal de RealPilot puede simplemente echar un vistazo a tu lista de clientes — todo acceso administrativo queda registrado.
- RLS a nivel de base de datos — ningún bug de aplicación puede saltarlo
- Acceso del personal de RealPilot solo con autenticación de dos factores + registro de auditoría
- Nadie excepto tú ve a tus clientes — solo aparecen perfiles de búsqueda anonimizados en el Hub
- El acceso por nuestro soporte queda documentado por separado
Ejemplo — regla RLS sobre la tabla de clientes:
create policy clients_select_own on public.clients for select using (owner_agent_id = auth.uid()); → Solo ves filas en las que TÚ eres el propietario. → ¿Otros agentes? Ni una sola fila.
Detección de conflictos sin intercambio de datos en texto plano
Cuando dos agentes representan al mismo cliente final en paralelo, surge un problema legal de doble representación. Solución estándar del sector: intercambiar listas de contactos — una pesadilla para el RGPD.
Nuestra solución: almacenamos adicionalmente el correo, teléfono y nombre de tus clientes finales como hash criptográfico SHA-256 con salt en el servidor. Otros agentes solo ven el hash resultante — nunca tus datos en texto plano. Aun así, el sistema detecta solapamientos y avisa antes de un intento de match.
Entrada en texto plano de tu cliente
klaus.mueller@example.com
a3f9c2b1...e4d8 (SHA-256)
Otros agentes solo ven el hash. A partir del hash no se puede reconstruir el correo original.
Plenamente conforme al RGPD — con todos los contratos que necesitas
Te proporcionamos toda la documentación legal que necesitas como responsable de los datos de tus clientes finales.
Política de privacidad RGPD
Completa según el art. 13 RGPD con lista de subencargados, aviso de transferencia internacional y todos los derechos de los interesados.
Contrato de Encargo del Tratamiento (DPA)
Conforme al art. 28 RGPD — pasa a formar parte del contrato automáticamente al registrarte.
Lista de subencargados
Visión transparente de todos los proveedores (Supabase, Cloudflare, Resend, Workspace, Stripe) con estado de transferencia internacional.
CG incl. § 7a cláusula Protección de cliente
Derecho a comisión entre agentes regulado expresamente — 12 meses desde la confirmación bilateral de la visita.
¿Qué pasa en un incidente de seguridad?
En caso de emergencia seguimos nuestro plan interno de respuesta a incidentes y las obligaciones del RGPD:
- •Detección y contención inmediata dentro de la primera hora
- •Notificación a la autoridad de control (AEPD) dentro del plazo legal de 72 horas (art. 33 RGPD)
- •Notificación directa a todos los clientes-agentes afectados, si sus datos se vieron concretamente afectados (art. 34 RGPD)
¿Quieres saberlo en detalle?
Lee nuestra política de privacidad completa o escribe directamente a nuestro equipo de protección de datos — solemos responder en 24 horas.