Tu data es tuya.
Te la llevás cuando quieras.

• TLS 1.3 obligatorio en transporte (navegador ↔ servidor).
• AES-256 en reposo en la base de datos (Postgres administrado por Supabase).
• Contraseñas hasheadas con bcrypt cost factor 12 (estándar OWASP 2026).
• Tokens JWT con rotación cada hora + refresh seguro vía cookie httpOnly.

• Cada óptica es un tenant aislado con Row Level Security en Postgres.
• El JWT trae tenant_id firmado · imposible leer data de otra óptica.
• Auditado: tenant nuevo ve 0 clientes Sicuani aunque consulte directo la API.
• RLS aplicado a 100% de tablas con data sensible (clientes, ventas, recetas, taller).

• Backup automático diario de Postgres (Supabase Pro · retención 7 días).
• Snapshot semanal a Storage segregado (retención 4 semanas).
• Tu propio backup: descargás ZIP cuando quieras desde /ajustes/backup con todas tus tablas en CSV.
• Si LUNARA desaparece mañana, vos seguís teniendo tu data en un ZIP.

• LUNARA es responsable de tratamiento de la data que tu óptica carga.
• Vos sos titular del banco de datos de tus pacientes.
• Cumplimos derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) en menos de 10 días hábiles.
• Banco de datos registrable ante la Autoridad Nacional de Protección de Datos (te ayudamos con el formato).
• Política completa: /legal/privacidad.

• Servidores: Supabase región us-east-1 (Virginia, USA · datacenter SOC 2 Tipo II).
• Próximamente región LATAM (sao-paulo o santiago) cuando el cliente lo requiera por compliance.
• Transferencia internacional consentida por Ley 29733 mientras existan garantías equivalentes.
• Auditorías externas anuales: SOC 2 (proveedor) · pen-test programado 2026-Q4.

• Botón "Descargar mi data completa" genera ZIP con: clientes.csv, ventas.csv, recetas.csv, taller.csv, inventario.csv.
• Sin "exit fee" · sin retenciones · sin "hablar con un asesor antes".
• Si cancelás, te enviamos el ZIP final + borramos tu data en 30 días (o inmediato si lo pedís).

• Logs de auth (login/logout/cambios password) · retención 90 días.
• Logs de modificación clínica (quién editó qué historia, cuándo) · retención permanente para auditoría.
• Logs de IA (qué prompt mandamos, qué devolvió) · retención 30 días para mejora del modelo.
• Nunca guardamos contenidos sensibles fuera de tu tenant.

Para cualquier solicitud relacionada con tus datos personales o los de tus pacientes:

• Email DPO: dpo@lunara.app
• WhatsApp directo: +51 999 999 999
• Tiempo respuesta: 48 horas hábiles · solicitudes formales en 10 días.