// // Cuenta y seguridad

Control total sobre tu identidad

La seguridad de tu cuenta protege todo el resto: tu tienda, tus clientes, tus ingresos. En esta guía cubrimos desde cambios básicos de contraseña hasta MFA, auditoría, exportación de datos y baja definitiva.

10 min de lecturaActualizado · Abril 2026

Tratamos la seguridad de tu cuenta con seriedad de infraestructura bancaria. Identidad gestionada por Auth0, sesiones firmadas con JWT rotados, auditoría completa de eventos y cifrado en reposo para todos los datos sensibles.

01

Tu perfil y datos de cuenta

Tu cuenta tiene dos niveles de información separados: los datos de identidad (email, contraseña, MFA) que maneja Auth0, y los datos de tienda (nombre, contacto, tenant) que maneja Knecta.

Email principalIdentificador único de tu cuenta. Se usa para login, notificaciones y recuperación. Cambiable previa verificación del nuevo email.
Nombre de contactoTu nombre como dueño/a de la tienda. No es visible públicamente en el storefront salvo que lo configures.
TeléfonoOpcional. Se usa para contacto operativo y como factor de recuperación si activás MFA por SMS.
Datos fiscalesRazón social, CUIT, dirección. Aparecen en los comprobantes de tu suscripción.
02

Contraseña y métodos de acceso

Podés acceder con email + contraseña o con Google. Las dos vías llegan al mismo tenant — es la misma cuenta vista desde distintos proveedores de identidad.

  • Política de contraseña. Mínimo 10 caracteres, al menos una mayúscula, un número y un carácter especial. Rechazamos contraseñas comprometidas en leaks públicos (HIBP).
  • Almacenamiento. Nunca vemos tu contraseña en texto plano. Auth0 usa bcrypt con cost factor alto. Incluso nosotros solo podríamos forzar un reset, nunca leerla.
  • Recuperación. Desde la pantalla de login, pedís un link de reseteo. Llega a tu email y tiene validez de 1 hora.
  • Cambio periódico. No lo forzamos, pero te recomendamos cambiarla al menos una vez al año y al primer indicio de compromiso.
No hagas esto

No reutilices la contraseña de otra plataforma. No la compartas con tu equipo (para eso hay usuarios separados). No la guardes en notas sin cifrar. Un gestor de contraseñas como 1Password o Bitwarden resuelve los tres.

03

Autenticación multifactor

La autenticación multifactor (MFA) agrega una capa adicional al login. Incluso si alguien obtiene tu contraseña, no puede entrar sin el segundo factor físico.

  1. Entrá a Seguridad en tu perfilSección Autenticación multifactor. El estado inicial es desactivado.
  2. Elegí el métodoApp autenticadora (Google Authenticator, Authy, 1Password) es la opción recomendada. SMS funciona pero es menos seguro contra SIM swap.
  3. Escaneá el QR o cargá el códigoTu app generará códigos rotativos de 6 dígitos cada 30 segundos.
  4. Validá con un código de pruebaIngresá el código actual para confirmar que la app está bien vinculada.
  5. Guardá tus códigos de respaldoSe generan 8 códigos de un solo uso. Bajalos y guardalos offline. Son tu salida si perdés el dispositivo con la app.
Fuertemente recomendado

Si tu tienda factura regularmente, activá MFA. Es una acción de 5 minutos que previene el 99% de los ataques de compromiso de cuenta por phishing o password spraying.

04

Sesiones activas y cierre remoto

Podés ver todas las sesiones abiertas contra tu cuenta y cerrar remotamente las que no reconozcas. Es la primera acción a tomar si sospechás de acceso indebido.

  • Dispositivos. Cada sesión muestra sistema operativo, navegador y ubicación aproximada por IP.
  • Último acceso. Timestamp de la última actividad contra la API con esa sesión.
  • Cierre individual. Revocás una sesión específica sin afectar las demás.
  • Cierre total. Un solo botón cierra todo salvo la sesión actual. Útil si te olvidaste sesión abierta en una computadora ajena.
Si ves algo raro

Sesión desde un país que no visitaste, dispositivo que no reconocés: cerrá esa sesión de inmediato, cambiá la contraseña y activá MFA si no lo tenías. Después notificanos — revisamos los logs para confirmar que no hubo acceso a datos sensibles.

05

Auditoría de actividad

Registramos cada acción sensible hecha desde tu cuenta. El log es inmutable — ni siquiera el equipo de Knecta puede modificar entradas pasadas.

Login y logoutCon IP, user agent y timestamp. Intentos fallidos también se registran.
Cambios de configuraciónSubdominio, dominio propio, datos fiscales, tokens de diseño — qué cambió, de qué valor a cuál.
Conexiones externasConectar/desconectar Mercado Pago, suscripciones creadas, canceladas, pausadas.
Gestión de ventasCada cambio de estado, cada cancelación, cada devolución de stock registrada nominativamente.
SeguridadActivación/desactivación de MFA, cierre de sesiones, cambios de contraseña.
06

Exportar tus datos

Tus datos son tuyos. Podés pedir una exportación completa en cualquier momento, sin costo y sin justificación. Cumple con el derecho a portabilidad.

  • Productos. CSV con el catálogo completo, incluyendo variantes, imágenes (URLs) y estados.
  • Ventas. CSV histórico con estados, montos, comprador y línea temporal.
  • Configuración de tienda. JSON con tokens de diseño, presets, banners, datos de contacto.
  • Actividad. Log de auditoría en JSON Lines para análisis externo.
Procesamiento

Las exportaciones grandes se generan asincrónicamente. Recibís un email con el link de descarga en cuanto está lista. El link tiene validez de 48 horas y cifrado en tránsito.

07

Dar de baja tu cuenta

Si decidís cerrar tu tienda en Knecta, el proceso es claro y no requiere llamadas ni gestiones manuales. Hay un período de gracia por si cambiás de idea.

  1. Cancelá tu suscripciónDesde Dashboard → Pagos. La tienda sigue operativa hasta el fin del ciclo pagado.
  2. Exportá tus datosPedí el export completo antes de avanzar con la baja. Idealmente guardalo en dos ubicaciones distintas.
  3. Solicitá la baja definitivaDesde Perfil → Eliminar cuenta. Te pedimos confirmar con contraseña y un texto específico, para evitar bajas accidentales.
  4. Ventana de graciaLa cuenta queda suspendida por 30 días. Podés reactivarla en ese plazo contactando soporte. Pasados esos 30 días, todos los datos se eliminan irreversiblemente.
  5. Subdominio liberadoTu subdominio se libera al completar la baja definitiva. Otro usuario podrá tomarlo a partir de ese momento.
Irreversible

Después de los 30 días de gracia la eliminación es total y definitiva. No conservamos backups de cuentas dadas de baja más allá de ese plazo.

08

Cómo protegemos tus datos

Nuestra postura de seguridad está diseñada como capas concéntricas. Ninguna sola defensa es suficiente; el conjunto sí lo es.

IdentidadAuth0 como proveedor de identidad, con bcrypt, HIBP check y soporte nativo para MFA y SSO empresarial.
TransporteTLS 1.3 en todos los endpoints, HSTS con preload, certificados gestionados automáticamente.
Aislamiento multi-tenantCada tenant tiene su propio scope de datos, validado en cada request. Imposible leer datos de otro tenant por error o por exploit.
Cifrado en reposoTokens de integraciones externas (Mercado Pago, etc.) cifrados en base de datos con claves rotadas.
Validación server-sideTodas las reglas de negocio se validan en backend. El frontend nunca es autoritativo — es solo UI.
Rate limitingLímites por IP y por tenant en endpoints sensibles. Previene fuerza bruta, scraping masivo y abuso de APIs.
BackupsSnapshots diarios con retención de 30 días, replicados en región distinta. Tested recovery trimestral.
SecretosGestión centralizada, nunca en el código. Webhooks firmados con HMAC verificable. Tokens de suscripción con TTL corto.
Si encontrás una vulnerabilidad

Tenemos un programa de responsible disclosure. Reportala a security@knecta.app. Respondemos en 48 horas hábiles y tenemos recompensa para hallazgos válidos.