Guía del operador sobre seguridad de datos de restaurantes e inteligencia multi-tenant

La pregunta de confianza que todo operador hace

Antes de que cualquier grupo de restaurantes adopte una plataforma de inteligencia en la nube, alguien en la sala hace la pregunta: "¿Nuestros datos están seguros?"

Es la pregunta correcta. Los datos operativos de un restaurante son comercialmente sensibles. Tus cifras de ventas, costos laborales, porcentajes de food cost, precios de proveedores e inteligencia competitiva representan secretos comerciales genuinos. Si un competidor accediera al P&L de tus ubicaciones, sabría exactamente dónde eres vulnerable y cómo atacarte.

Para los operadores multiubicación, la apuesta es aún más alta. No estás protegiendo los datos de un solo restaurante - estás protegiendo la inteligencia operativa de un portafolio completo. Y si usas una plataforma que también sirve a tus competidores, la pregunta se vuelve aún más aguda: "¿Cómo sé que mis datos están completamente aislados de todos los demás operadores de la plataforma?"

Este artículo responde esa pregunta en detalle - no con lenguaje de marketing, sino con especificaciones arquitectónicas que tu equipo de tecnología puede evaluar.

Arquitectura multi-tenant: tus datos viven solos

Sundae opera sobre una arquitectura multi-tenant donde los datos de cada organización están completamente aislados a nivel de base de datos. Esto es lo que significa en la práctica.

Aislamiento de datos a nivel organización

Cada registro de datos en Sundae - cada transacción, cada entrada de mano de obra, cada benchmark, cada consulta de inteligencia - está etiquetado con un identificador de organización. Esto no es un filtro flexible que pueda saltarse por accidente. Se aplica a nivel de base de datos mediante políticas de Row-Level Security (RLS).

Row-Level Security significa que la propia base de datos - no el código de la aplicación - hace cumplir que las consultas solo puedan devolver datos pertenecientes a la organización autenticada. Incluso si hubiera un bug en la capa de aplicación que olvidara filtrar por organización, la base de datos se negaría a devolver datos de otra organización. Eso es defense-in-depth: múltiples capas independientes de protección, cada una suficiente por sí sola.

Qué significa esto en la práctica:

• Cuando entras a Sundae, tu sesión queda vinculada a tu organización
• Cada consulta a la base de datos incluye automáticamente el alcance de tu organización
• No existe endpoint de API, dashboard ni ruta de consulta que pueda acceder a los datos de otra organización
• Tus datos no pueden aparecer en benchmarks, reportes ni salidas de inteligencia de otra organización (los benchmarks usan datos de mercado anonimizados y agregados - nunca datos organizacionales crudos)

Cómo funcionan los benchmarks sin exponer datos

Pregunta natural: si Sundae ofrece benchmarks competitivos, ¿eso significa que tus datos se están compartiendo?

No. Los datos de benchmark se generan mediante agregación y anonimización. Cuando Sundae Benchmarks muestra que el "costo de alimentos promedio en casual dining en Dubái" es 31.2%, ese número proviene de datos agregados de muchos operadores. No se puede identificar a ningún operador individual. Los umbrales de agregación garantizan que las categorías de benchmark siempre incluyan suficientes operadores para evitar la ingeniería inversa del rendimiento individual.

Tus datos crudos nunca, bajo ninguna circunstancia, son visibles para otra organización. Los benchmarks son agregados estadísticos - útiles en dirección, anónimos en lo específico.

Control de acceso por rol

El aislamiento de datos entre organizaciones es la base. El control de acceso por rol (RBAC) dentro de tu organización es la segunda capa.

Cómo funciona RBAC en Sundae

No todos en tu organización deben ver todo. El CFO necesita datos de P&L. El gerente de área necesita datos operativos a nivel de ubicación. El director de marketing necesita datos de clientes y campañas. El gerente general necesita los datos de su propia ubicación, pero no los detalles financieros de otras ubicaciones.

Sundae implementa RBAC a nivel de función y de datos:

• Administrador de organización: acceso total a todos los datos, todas las funciones, todas las ubicaciones. Puede gestionar usuarios y permisos.
• Ejecutivo: visibilidad de todo el portafolio en todos los módulos. Puede ver pero no modificar la configuración del sistema.
• Gerente de operaciones: datos operativos multiubicación (ventas, mano de obra, inventario, feedback de clientes). Puede estar acotado a una región o subconjunto de ubicaciones.
• Gerente de ubicación: acceso a una sola ubicación y a los módulos operativos relevantes para su restaurante.
• Finanzas: acceso a módulos financieros (P&L, presupuestos, forecasting) en todo el portafolio.
• Analista: acceso de solo lectura a módulos especificados para reporting y análisis.

Los roles son configurables. Si la estructura de tu organización no encaja en los roles estándar, los permisos pueden personalizarse para reflejar cómo opera realmente tu equipo.

Consultas de inteligencia de solo lectura

Sundae Intelligence - la capa de IA conversacional - opera con acceso de solo lectura a la base de datos. Cuando un operador pregunta "¿Por qué subió el food cost en la Ubicación 7 la semana pasada?", el sistema ejecuta consultas analíticas sobre los datos. Estas consultas son estrictamente operaciones SELECT - pueden leer datos para generar insights, pero no pueden modificar, eliminar ni exportar datos crudos.

Además, las consultas de Intelligence están sujetas a límites de filas y restricciones de complejidad que evitan la extracción masiva de datos. El sistema está diseñado para responder preguntas analíticas, no para servir como herramienta de exportación de datos.

Cifrado de datos

En tránsito

Todos los datos transmitidos entre tu navegador y los servidores de Sundae se cifran usando TLS 1.3 - el estándar actual de la industria para cifrado de transporte. Esto aplica a cada interacción: inicio de sesión, visualización de datos, llamadas de API, carga de archivos y datos de webhooks de integraciones.

Los datos transmitidos entre los servidores de aplicación de Sundae y los servidores de base de datos también van cifrados en tránsito, protegiendo contra interceptación dentro de la red interna.

En reposo

Todos los datos almacenados en la base de datos de Sundae se cifran en reposo usando cifrado AES-256. Esto significa que incluso si alguien obtuviera acceso físico al hardware de almacenamiento, los datos serían ilegibles sin las claves de cifrado.

Las claves se gestionan mediante un servicio dedicado de gestión de claves, separado de la infraestructura de aplicación. La rotación de claves sigue las mejores prácticas de la industria.

Cifrado de backups

Los backups de la base de datos - esenciales para la recuperación ante desastres - también se cifran en reposo. El acceso a backups está restringido a miembros del equipo de infraestructura con autorización explícita, y todo acceso se registra y audita.

Seguridad de autenticación y sesiones

Autenticación basada en JWT

Sundae usa autenticación mediante JSON Web Token (JWT). Cuando inicias sesión, se emite un token firmado criptográficamente que codifica tu identidad y tu organización. Este token se guarda en una cookie segura, HTTP-only, a la que JavaScript del lado del cliente no puede acceder - evitando que ataques comunes de cross-site scripting (XSS) roben credenciales de sesión.

Los tokens tienen un periodo de expiración definido. Una vez expiran, se requiere reautenticación. No existe una opción de "recordarme para siempre" que deje una sesión vulnerable indefinidamente.

Aislamiento de sesión

Cada sesión de usuario queda vinculada a una sola organización. Si un operador administra varias organizaciones (por ejemplo, una empresa de gestión que supervisa varios grupos de restaurantes), debe cambiar de contexto explícitamente. No hay forma de que una sesión acceda simultáneamente a datos de múltiples organizaciones, eliminando el riesgo de exposición accidental entre organizaciones.

Autenticación multifactor (MFA)

Las contraseñas por sí solas no bastan para proteger acceso a datos financieros y operativos sensibles. Sundae ahora soporta autenticación multifactor completa mediante Time-Based One-Time Passwords (TOTP) - el mismo estándar que usan bancos y plataformas SaaS empresariales.

Cómo funciona

Cuando MFA está activado, los usuarios se autentican con su contraseña más un código de 6 dígitos de una app autenticadora (Google Authenticator, Authy, Microsoft Authenticator o cualquier app compatible con TOTP). El código rota cada 30 segundos y está ligado criptográficamente a la cuenta del usuario. Incluso si una contraseña se compromete, el atacante no puede acceder a la cuenta sin el dispositivo físico que ejecuta la app autenticadora.

Códigos de respaldo

Durante la configuración de MFA, Sundae genera un conjunto de códigos de respaldo de un solo uso. Son códigos de recuperación que permiten acceso si el dispositivo autenticador se pierde, se daña o se reemplaza. Cada código solo puede usarse una vez. Recomendamos guardar estos códigos en un lugar seguro - un gestor de contraseñas o una caja fuerte física - separado del dispositivo con la app autenticadora.

Aplicación de MFA a nivel organización

Para operadores enterprise que necesitan obligar MFA en todo su equipo, Sundae soporta enforcement de MFA a nivel organización. Cuando un administrador habilita MFA obligatorio, cada usuario de la organización debe configurarlo antes de acceder a la plataforma. No existe opción de exclusión individual. Esto es crítico para organizaciones con requerimientos regulatorios o políticas internas que exigen autenticación de dos factores para todo el personal que accede a datos financieros.

La configuración de aplicación se controla desde la página de seguridad de la organización. Una vez activada, los usuarios que aún no hayan configurado MFA son redirigidos al flujo de configuración en su próximo inicio de sesión. No existe periodo de gracia - la aplicación es inmediata, garantizando que no haya huecos de cobertura.

Políticas de contraseña

Las contraseñas débiles son el vector de ataque más común contra plataformas SaaS. Sundae implementa políticas configurables que van más allá de los requisitos básicos de complejidad:

Requisitos de complejidad: longitud mínima, tipos de caracteres requeridos (mayúsculas, minúsculas, números, caracteres especiales) y prevención de contraseñas comunes. Estos requisitos se aplican en registro, cambio de contraseña y restablecimiento.

Bloqueo de cuenta: tras un número configurable de intentos fallidos, la cuenta se bloquea temporalmente. Esto evita ataques de fuerza bruta donde un atacante prueba miles de combinaciones. La duración del bloqueo y el umbral de intentos son configurables por los administradores, equilibrando seguridad y comodidad.

Historial de contraseñas: los usuarios no pueden reutilizar contraseñas recientes, evitando el patrón común de rotar entre dos o tres contraseñas familiares.

Banner de estado de seguridad: cuando ocurren eventos relevantes para la seguridad - intentos fallidos de inicio de sesión, cambios en políticas de contraseña, recordatorios de enrolamiento en MFA - Sundae muestra banners de seguridad contextuales a los usuarios relevantes. No son mensajes de marketing genéricos. Son notificaciones accionables que ayudan a usuarios y administradores a mantener su postura de seguridad.

Enmascaramiento de PII

Para organizaciones con requerimientos estrictos de privacidad de datos, Sundae soporta el enmascaramiento automático de PII (Personally Identifiable Information) en la interfaz de administración. Cuando está activado, los campos sensibles - nombres de clientes, emails, teléfonos y otros identificadores personales - se muestran parcial o totalmente enmascarados en vistas de admin y registros de auditoría.

Esto es especialmente importante para organizaciones sujetas a GDPR, CCPA o regulaciones regionales de protección de datos donde el acceso a PII cruda debe limitarse a personal autorizado. El enmascaramiento de PII garantiza que soporte, analistas y otros miembros del equipo puedan hacer su trabajo sin exposición innecesaria a datos personales.

Consentimiento de cookies y controles de privacidad

Sundae implementa un framework de consentimiento de cookies que cumple con los requisitos de GDPR y la Directiva ePrivacy:

Banner de consentimiento: los visitantes por primera vez ven un banner claro y accionable que explica qué cookies se usan y por qué. Los usuarios pueden aceptar todas, rechazar las no esenciales o personalizar sus preferencias.

Controles granulares: las categorías de cookies se presentan por separado - esenciales (siempre activas), analíticas, marketing y funcionales. Los usuarios eligen qué categorías habilitar y sus preferencias se respetan entre sesiones.

Registros de consentimiento: todas las decisiones de consentimiento se registran con timestamps y direcciones IP, proporcionando el historial de auditoría que GDPR exige para demostrar un consentimiento válido.

Seguridad de infraestructura

Infraestructura en la nube

Sundae corre sobre infraestructura cloud de nivel enterprise con:

• Aislamiento de red: los servidores de aplicación y base de datos operan en redes privadas no accesibles directamente desde internet
• Reglas de firewall: solo los puertos y protocolos necesarios están abiertos. Todo lo demás se bloquea por defecto.
• Protección DDoS: mitigación de ataques distribuidos de denegación de servicio en el borde de red
• Parches automáticos: las actualizaciones de seguridad del sistema operativo y runtime se aplican automáticamente
• Residencia geográfica de datos: los datos se almacenan en regiones compatibles con las regulaciones locales de protección de datos

Monitoreo y alertas

Toda la infraestructura se monitorea continuamente para detectar:

• Intentos de acceso no autorizados
• Patrones de consulta inusuales que puedan indicar intentos de exfiltración de datos
• Anomalías de rendimiento que puedan señalar incidentes de seguridad
• Cambios de configuración que puedan debilitar la postura de seguridad

Las alertas de seguridad se envían al equipo de ingeniería 24/7 con SLAs de respuesta definidos.

Preparación para compliance y auditoría

Ruta a SOC 2

Sundae está en una ruta definida hacia la certificación SOC 2 Type II, el estándar de la industria para seguridad y disponibilidad SaaS. Eso implica:

• Políticas y procedimientos formales de seguridad
• Evaluaciones regulares de seguridad y pruebas de penetración
• Procedimientos de respuesta a incidentes
• Gestión de seguridad de proveedores
• Capacitación de seguridad para empleados

Para prospects enterprise que requieren SOC 2 como requisito de compra, con gusto compartimos nuestro estado actual de compliance, respuestas de cuestionarios de seguridad y cronograma de certificación.

GDPR y protección de datos

Para operadores con huéspedes o empleados en Europa, la arquitectura de Sundae soporta el cumplimiento GDPR:

• Minimización de datos: recopilamos solo lo necesario para la funcionalidad de inteligencia
• Derecho a eliminación: los datos de organización pueden purgarse a solicitud
• Portabilidad de datos: las organizaciones pueden exportar sus datos en formatos estándar
• Registros de procesamiento: mantenemos registros de actividades de procesamiento de datos según lo exige GDPR

Registro de auditoría

Cada acción significativa en Sundae queda registrada:

• Inicios y cierres de sesión
• Patrones de acceso a datos
• Cambios de configuración
• Modificaciones de permisos
• Consultas de inteligencia
• Exportaciones de datos

Estos registros son inmutables (no pueden modificarse ni borrarse) y están disponibles para administradores de la organización con fines de compliance y auditoría interna.

Lo que no hacemos

Ser transparentes sobre lo que no hacemos es tan importante como describir lo que sí hacemos:

• No vendemos tus datos. Tus datos operativos son tuyos. Punto. No los monetizamos, no los compartimos con terceros ni los usamos para nada que no sea brindarte servicios de inteligencia.
• No entrenamos modelos de IA con tus datos. Los datos de tu organización no se usan para entrenar modelos de machine learning que sirvan a otros clientes. Los modelos de inteligencia se entrenan con datos anónimos y agregados de la industria - nunca con datos organizacionales identificables.
• No damos acceso trasero. No existe un "modo admin" que permita a empleados de Sundae navegar tus datos casualmente. El acceso interno a datos de clientes requiere autorización explícita, queda registrado y se limita a funciones de soporte e ingeniería con una necesidad de negocio documentada.
• No retenemos datos después de la terminación. Si dejas Sundae, tus datos se exportan y se purgan de nuestros sistemas dentro de una ventana de retención definida. No conservamos tu histórico como una herramienta de retención.

La conversación de seguridad enterprise

Para grupos de hospitalidad enterprise que evalúan Sundae, entendemos que la seguridad no es una casilla - es una relación continua. Soportamos:

• Respuestas a cuestionarios de seguridad: respuestas detalladas para la evaluación del equipo de compras
• Revisiones de arquitectura: sesiones técnicas en profundidad con tu equipo de seguridad de IT
• Resultados de pentesting: compartición de hallazgos de evaluaciones de seguridad de terceros
• Requerimientos de seguridad personalizados: para organizaciones con necesidades específicas de compliance (PCI-DSS para datos de pago, regulaciones regionales de protección de datos, políticas internas)
• Contacto dedicado de seguridad: una persona designada para manejar las preguntas e inquietudes de seguridad de tu organización

Construir confianza mediante transparencia

La seguridad de datos en inteligencia para restaurantes no es una función que se deba vender. Es un compromiso fundacional que hace posible todo lo demás. Si los operadores no confían en la plataforma con sus datos, las capacidades de inteligencia más sofisticadas del mundo no valen nada.

El enfoque de Sundae es ganar confianza mediante decisiones arquitectónicas (aislamiento multi-tenant, RLS, cifrado), prácticas operativas (monitoreo, parches, respuesta a incidentes) y transparencia (este artículo, documentación de seguridad, conversaciones directas con tu equipo técnico).

Tus datos de restaurante son tu ventaja competitiva. Protegerlos no es negociable - es el requisito mínimo para todo lo que Sundae entrega.

Reserva una demo para hablar sobre los requerimientos específicos de seguridad de tu organización y ver cómo la arquitectura de Sundae protege tus datos mientras entrega inteligencia a nivel portafolio.