Política de seguridad

1. Principios de seguridad

• Los accesos administrativos requieren autenticación con Google.
• Los roles separan permisos de administrador y creador.
• Los tokens sensibles de Mercado Pago se guardan cifrados cuando el creador conecta su cuenta.
• Los pagos se procesan en Mercado Pago; qrpropina no solicita ni guarda números completos de tarjeta.
• En producción se debe operar siempre con HTTPS y variables de entorno seguras.

2. Cómo reconocer un enlace seguro

• Verifica que el dominio sea qrpropina.com antes de iniciar sesión o administrar datos.
• No ingreses credenciales de Google o Mercado Pago en páginas que no pertenezcan a esos proveedores.
• Antes de imprimir un QR, escanealo y confirma que apunte al creador correcto.
• Desconfiá de mensajes que pidan tokens, claves, códigos de verificación o cambios urgentes de cuenta.

3. Recomendaciones para creadores

• Activa medidas de seguridad en Google y Mercado Pago.
• No compartas tu sesión ni permitas que terceros administren tu cuenta sin autorizacion.
• Revisa periódicamente tus QR activos y elimina los que ya no uses.
• Reporta de inmediato cualquier QR falso, cobro desconocido o acceso sospechoso.

4. Reporte de incidentes

Si detectás una vulnerabilidad, intento de phishing, QR falso o acceso no autorizado, escribí a seguridad@qrpropina.com.

Incluí URL afectada, captura si corresponde, fecha aproximada, usuario o creador involucrado y una descripción clara del problema.

5. Alcance de Mercado Pago

Las validaciones del medio de pago, prevención de fraude financiero, contracargos, autenticación del comprador y acreditación de fondos se gestionan dentro del ecosistema de Mercado Pago.

qrpropina usa notificaciones de pago para actualizar estados locales, pero el estado definitivo del pago depende del proveedor.