1. Cifrado en tránsito y en reposo

Toda la comunicación entre tu dispositivo, nuestra API y nuestras bases de datos viaja sobre TLS 1.2+ (HTTPS).

Los datos en reposo —tablas de PostgreSQL, archivos en Supabase Storage— están cifrados con AES-256 mediante los discos cifrados de la infraestructura subyacente.

Las contraseñas nunca se almacenan en claro: se guardan como hashes salados gestionados por nuestro proveedor de autenticación (Supabase Auth).

2. Autenticación y MFA

La autenticación de Livra está delegada a Supabase Auth, que valida cada petición mediante tokens JWT firmados de corta duración.

El segundo factor (TOTP) está disponible para todas las cuentas y será obligatorio próximamente para administradores de cuentas con plan Pro o Portfolio.

Las contraseñas nuevas se comprueban contra la base de datos de credenciales filtradas Have I Been Pwned para bloquear las que ya circulan en filtraciones públicas.

Aplicamos bloqueo progresivo contra ataques de fuerza bruta a nivel de IP y de cuenta.

3. Aislamiento por usuario (Row Level Security)

Cada fila de propiedades, contratos, inquilinos, gastos y documentos lleva un identificador de usuario.

La base de datos aplica políticas de Row Level Security (RLS) que impiden que un usuario lea o modifique filas que no le pertenecen, incluso si una capa superior tuviera un fallo. Ningún proceso accede a tus datos saltándose esa política, salvo el propio mantenimiento técnico autorizado.

4. Residencia de datos y proveedores

Los datos de aplicación se procesan en la Unión Europea (Supabase EU).

El análisis de uso de la web se realiza con PostHog EU, también dentro del EEE, y solo si has aceptado el banner de cookies.

Algunos subprocesadores —RevenueCat para suscripciones móviles, proveedores de email transaccional— pueden tratar metadatos puntuales fuera del EEE. En esos casos aplicamos las cláusulas contractuales tipo y demás garantías exigidas por el RGPD.

5. Documentos y multimedia

Los documentos que subes (PDFs, imágenes de propiedades, justificantes) se guardan en buckets privados de Supabase Storage.

El acceso se concede mediante URLs firmadas con una validez limitada (5–60 minutos según el uso), nunca con enlaces públicos abiertos.

Validamos el tipo MIME y el tamaño en el momento del upload y rechazamos extensiones sospechosas.

6. Copias de seguridad

La base de datos se respalda automáticamente con instantáneas diarias retenidas según el plan de infraestructura.

Si solicitas la eliminación de tu cuenta, los datos visibles se borran de forma inmediata y desaparecen de las copias de seguridad en el siguiente ciclo de rotación.

7. Política de incidentes

Si detectamos —o nos comunican— una brecha que pueda afectar a tus derechos, te avisaremos por email y, cuando corresponda, notificaremos a la autoridad de control competente (AEPD en España, ICO en Reino Unido) dentro de los plazos legales aplicables.

Para reportar una vulnerabilidad, escríbenos a security@livra.uk. Atendemos los reportes en menos de 48 horas laborables.

8. Tus derechos

Puedes solicitar acceso, rectificación, supresión o portabilidad de tus datos en cualquier momento desde tu cuenta o escribiendo a privacy@livra.uk.

Para más detalle, consulta nuestra Política de privacidad y nuestra Política de cookies.

1. Encryption in transit and at rest

All communication between your device, our API and our databases runs over TLS 1.2+ (HTTPS).

Data at rest —PostgreSQL tables, files in Supabase Storage— is encrypted with AES-256 via the underlying infrastructure's encrypted disks.

Passwords are never stored in clear: they are kept as salted hashes managed by our authentication provider (Supabase Auth).

2. Authentication and MFA

Livra's authentication is delegated to Supabase Auth, which validates every request via short-lived signed JWT tokens.

Two-factor authentication (TOTP) is available for every account and will become mandatory soon for administrators of Pro and Portfolio plans.

New passwords are checked against the Have I Been Pwned breached-password database to block credentials that already circulate in public leaks.

We apply progressive lockouts to defend against brute-force attacks at both IP and account level.

3. Per-user isolation (Row Level Security)

Every row of properties, contracts, tenants, expenses and documents carries a user identifier.

The database enforces Row Level Security (RLS) policies that prevent a user from reading or modifying rows that don't belong to them, even if an upper layer had a bug. No process accesses your data bypassing these policies, except for authorised technical maintenance.

4. Data residency and processors

Application data is processed in the European Union (Supabase EU).

Web analytics are handled by PostHog EU, also within the EEA, and only if you accept the cookie banner.

Some sub-processors —RevenueCat for mobile subscriptions, transactional email providers— may process specific metadata outside the EEA. In those cases we apply Standard Contractual Clauses and the other safeguards required by UK GDPR and the EU GDPR.

5. Documents and media

Documents you upload (PDFs, property photos, receipts) are stored in private Supabase Storage buckets.

Access is granted via signed URLs with limited validity (5–60 minutes depending on the use), never via open public links.

We validate MIME type and file size at the moment of upload and reject suspicious extensions.

6. Backups

The database is backed up automatically with daily snapshots, retained according to our infrastructure plan.

If you request the deletion of your account, the visible data is removed immediately and disappears from backups on the next rotation cycle.

7. Incident policy

If we detect —or are informed of— a breach that may affect your rights, we will notify you by email and, where applicable, the competent supervisory authority (ICO in the United Kingdom, AEPD in Spain) within the legally applicable timeframes.

To report a vulnerability, email us at security@livra.uk. We acknowledge reports within 48 working hours.

8. Your rights

You can request access, rectification, erasure or portability of your data at any time from your account or by writing to privacy@livra.uk.

For more detail, see our Privacy Policy and our Cookie Policy.