PCI-DSS Level 1
PCI Security Standards Council
Los datos del viaje importan: tu nombre, tu tarjeta, dónde duermes esta noche. Aquí contamos con claridad qué protegemos, cómo lo protegemos y qué pasa cuando algo falla.
Certificaciones y estándares
Algunas las heredamos de procesadores auditados mundialmente (Stripe, Conekta). Otras las tenemos directas. Las que están planeadas las declaramos como planeadas — no como vigentes.
PCI Security Standards Council
Qué protegemos y cómo
No hay seguridad total — hay capas que hacen caro, lento e inútil un ataque. Aquí están las nuestras.
Nunca almacenamos el PAN de tu tarjeta. Procesamos con Stripe (internacional) y Conekta (OXXO y SPEI) bajo PCI-DSS Level 1. Nuestros servidores solo ven tokens.
yaReserva opera desde México, factura desde México y responde ante autoridades mexicanas. Si algo debe escalarse, va directo a PROFECO, INAI o CONDUSEF según corresponda — sin cortinas extranjeras.
Historial público de incidentes
Los últimos 12 meses, en claro. Cada incidente con post-mortem público cuando el análisis está listo.
No hemos tenido brecha de datos, fuga de tarjetas ni caída mayor que afectara reservas pagadas. Si eso cambia, aparecerá aquí con fecha, severidad y post-mortem — sin edulcorar.
La ausencia de incidentes públicos no significa ausencia absoluta de eventos de seguridad — significa que ninguno cruzó el umbral de notificación obligatoria.
Si eres investigador(a) de seguridad y encontraste algo que pueda afectar a nuestros usuarios, este es el canal directo. Respondemos en menos de 72 horas hábiles.
Correos leídos por humanos del equipo de seguridad — no por un bot ni por marketing. Si es urgente, usa responsible disclosure arriba.
Tiempos máximos: 24 h para reportes confirmados de brecha · 72 h hábiles para responsible disclosure · 20 días hábiles para derechos ARCO.
Heredada vía: Stripe y Conekta
Verificada el: 15 de marzo de 2026
IETF RFC 8446
NIST FIPS 197
INAI · México
ISO
AICPA
Medido sobre yareserva.com — reportado por nuestra sonda externa.
Pruebas de intrusión por terceros independientes.
Auditoría de seguridad programada con firma externa.
Tu INE, tu RFC, tu domicilio y tus reservas viven cifrados en tránsito (TLS 1.3) y en reposo (AES-256). El acceso interno queda registrado y requiere justificación.
La sesión dura lo mínimo útil. Los tokens de acceso viven 15 minutos y se rotan automáticamente. El refresh token va en cookie HttpOnly — imposible de leer desde JavaScript.
Cada hotel socio firma un acuerdo de tratamiento de datos. Reciben solo la información necesaria para prestarte el servicio — no el resto de tu historial de viaje.
Motor de riesgo en cada reserva: velocidad, geolocalización del IP, device fingerprint, comportamiento histórico. Bloqueos automáticos y revisión humana cuando toca.
En reservas grandes o de alto riesgo verificamos INE/pasaporte vía Veriff. Una sola vez — no volvemos a pedirlo si ya estás verificado.
Ley Federal de Protección al Consumidor
Tu contrato de compra-venta con yaReserva se rige por la LFPC mexicana. Cualquier queja de consumo puede escalar directamente a PROFECO.
Compromiso 72h activo