VlozityManual

Command Palette

Search for a command to run...

GeneralActualizado: 25 de abril de 2026

Seguridad y compliance

Como Vlozity protege tus datos, fondos y proyectos: KYC/AML, audit log, fraud alerts y proteccion de cuentas.

La seguridad y el cumplimiento regulatorio estan integrados a la plataforma desde el primer dia. Esta pagina describe que controles existen y como te impactan segun tu rol.

Capas de seguridad#

Autenticacion#

  • Auth.js con email + password (bcrypt) y sesiones JWT.
  • Cada request pasa por middleware.ts que protege rutas privadas.
  • Las contrasenas viajan siempre por HTTPS y se guardan hasheadas.

Recomendacion

Activa 2FA cuando este disponible en Configuracion > Seguridad y usa una contrasena unica para Vlozity (gestor de contrasenas recomendado).

RBAC (control de acceso por rol)#

Hay 4 roles, asignados en la tabla user_roles:

RolQue puede hacer
investorInvertir, ver portfolio, retirar (post-KYC).
project_ownerCrear proyectos, gestionar inversores y distribuciones.
scoring_managerRevisar y dictaminar proyectos.
adminTodo lo anterior + KYC, fraude, retiros, settings.

Las rutas estan protegidas tanto en el cliente (sidebar) como en el servidor (cada page.tsx valida getCurrentUser() y hasRole()).

KYC / AML#

KYC ("Know Your Customer") es obligatorio para:

  • Retirar fondos (fiat o cripto).
  • Invertir en proyectos de monto alto, segun politica.
  • Publicar proyectos como emprendedor.

El proceso recolecta: datos personales, documento de identidad, prueba de domicilio. Los resultados se guardan en kyc_records y se reflejan en /admin/kyc para revision interna.

Datos sensibles

Los documentos KYC se almacenan cifrados, nunca se exponen al cliente y solo son accesibles para roles admin con justificacion auditable.

Audit log#

Toda accion sensible (registro, cambios de rol, aprobacion de proyecto, distribucion de fondos, retiros) queda registrada en la tabla audit_log:

  • userId, action, entity, entityId, metadata, createdAt.
  • Visible para admins en /admin/audit.
  • No se puede borrar desde la UI (append-only).

Fraude#

/admin/fraud muestra alertas de comportamiento anomalo:

  • Multiples cuentas con la misma IP o dispositivo.
  • Movimientos inusuales en wallet.
  • Cambios de KYC repetidos.

Cada alerta tiene un estado: open, investigating, resolved, false_positive.

Proteccion de fondos#

  • Las wallets internas son no-custodiales para flujos cripto cuando aplica, custodiales en USDC para liquidez del marketplace.
  • Cada retiro pasa por revision en /admin/withdrawals con thresholds configurables.
  • Toda distribucion de fondos a inversores genera transacciones trazables con hash on-chain cuando corresponda.

Que esperar legalmente#

  • Los terminos completos viven en Terminos.
  • La politica de privacidad: Privacidad.
  • El aviso de riesgos (lectura obligatoria antes de invertir): Riesgos.

Disclaimer financiero

Ningun documento de Vlozity, incluido este manual, constituye asesoramiento financiero personalizado. Las decisiones de inversion son responsabilidad de cada usuario.