← Inicio

Seguridad y RGPD de Chef7

Datos alojados en Supabase West EU. Pagos vía Paddle merchant of record — Chef7 nunca ve datos de tarjeta. Números de teléfono de clientes borrados automáticamente tras entrega o cierre de mesa. RLS con 129 políticas activas. Copias diarias.

Dónde están alojados tus datos

Chef7 almacena todos los datos de clientes en Supabase en la región Europa Occidental (Irlanda). Supabase es un proveedor Postgres gestionado con conformidad SOC 2 Tipo II. El sitio estático se distribuye globalmente vía Cloudflare Pages, pero cada lectura y escritura en base de datos llega a la región UE. La inferencia IA para generación de recetas usa Google Gemini 2.5 Flash; los prompts y salidas no se usan para entrenar modelos Google (según términos Vertex AI).

Datos de pago

Chef7 nunca ve datos de tarjeta de crédito. La facturación la gestiona Paddle como Merchant of Record. Paddle es el vendedor legal a efectos fiscales y de derechos del consumidor, calcula y remite el IVA correctamente por país, y almacena toda la información de tarjeta bajo conformidad PCI DSS Level 1.

Datos personales de clientes — borrado automático

Los restaurantes que usan Chef7 recogen números de teléfono de clientes para pedidos para llevar y reservas. Para minimizar la retención de datos bajo el Artículo 5(1)(e) del RGPD:

  • Pedidos para llevar — tras la entrega, el nombre y número de teléfono del cliente se borran. El registro operacional (número de pedido, artículos, timestamps, total) se conserva para contabilidad.
  • Reservas de mesa — tras el cierre de la mesa, el nombre y teléfono de la reserva se borran.
  • Lista de espera — cuando el cliente es sentado o tras timeout de 12 horas, el teléfono se borra.

Controles de acceso a la base de datos

Postgres usa row-level security (RLS) con 129 políticas activas en abril 2026. Cada usuario autenticado solo puede leer y escribir filas que pertenecen a su propio restaurante o cuenta. Los audit logs registran quién cambió qué con timestamp e ID de usuario.

Copias de seguridad y recuperación

Las copias de seguridad de la base de datos corren diariamente y se conservan 30 días en el Point-in-Time Recovery de Supabase.

Autenticación

El login usa Supabase Auth con email + contraseña y magic-link opcional por email. Las contraseñas se almacenan en hash (bcrypt). Las sesiones se emiten como JWT con expiración 1 hora.

Subprocesadores

  • Supabase — base de datos, autenticación, edge functions, storage (West EU)
  • Cloudflare — entrega estática, DNS, protección DDoS (global)
  • Paddle — procesamiento pago, cálculo IVA, facturación (UK/UE)
  • Google Cloud (Gemini) — inferencia IA para generación de recetas

Derecho de acceso, exportación, eliminación

Bajo los Artículos 15, 20 y 17 del RGPD, cualquier usuario puede pedir una copia completa de sus datos o su eliminación en cualquier momento por email a [email protected].

Reportar una vulnerabilidad

Si encuentras un problema de seguridad, contacta por email [email protected].

Por Qué Chef7

  • IA Gemini 2.5 — recetas en segundos con los ingredientes que tiene
  • 6 idiomas — Español, Inglés, Portugués, Francés, Alemán, Italiano
  • Gestión completa de restaurante — stock, para llevar, mesa, cocina
  • GDPR — pagos seguros vía Paddle, sin acceso a datos de tarjeta