Política de Seguridad

Razón social: Invictvs Wellness Club SRL
RNC: 133-39011-6
Domicilio: Blue Mall Punta Cana, Esq. Carretera Juanillo, Punta Cana, República Dominicana
Contacto: wellcome@invictvsclub.com · +1 (849) 585-2031
Vigencia: Abril 2026 · Versión: 1.0

1. Compromiso con tu seguridad

En Invictvs Wellness Club SRL aplicamos controles técnicos y organizativos alineados con las mejores prácticas internacionales para proteger tu información personal y financiera.

2. Pagos con tarjeta — Nunca almacenamos tu PAN ni tu CVV

Los pagos con tarjeta se procesan a través de Azul (Servicios Digitales Popular, S.A.), procesador autorizado por Banco Popular Dominicano y certificado bajo el estándar PCI DSS Nivel 1 (el más alto de la industria).

Cómo funciona:

1. Cuando pagas en pagos.invictvs.com, tu navegador es redirigido de forma segura a la Página de Pago de Azul (pagos.azul.com.do), que es donde ingresas el número de tarjeta.
2. Tu tarjeta nunca toca los servidores de Invictvs. Capturamos solo: nombre, monto, y el resultado devuelto por Azul.
3. Azul valida la transacción con 3D Secure (Verified by Visa / MasterCard ID Check) mediante OTP, huella o notificación push.
4. Si aceptaste guardar tu tarjeta para pagos recurrentes (membresías), Azul genera un token cifrado (Azul Bóveda de Datos) que almacenamos en reemplazo del número real.
5. En tu recibo solo verás los últimos 4 dígitos y la marca de la tarjeta.

Lo que esto significa para ti: Invictvs no puede ver tu PAN ni tu CVV. Si un atacante comprometiera nuestros servidores, no encontraría números de tarjeta. Cancelar tu membresía desactiva el token automáticamente.

3. Encriptación en tránsito

Todas las conexiones con invictvs.com, pagos.invictvs.com y nuestras APIs usan TLS 1.2 o superior con certificados emitidos por autoridades reconocidas. No aceptamos tráfico HTTP sin cifrar.

4. Encriptación en reposo

Contraseñas con bcrypt, datos sensibles en volúmenes cifrados, copias de seguridad cifradas fuera del servidor principal.

5. Autenticación y control de acceso

Autenticación por JWT con expiración corta, acceso por roles (miembro, staff, administrador), contraseñas con requisitos mínimos, bloqueo tras intentos fallidos.

6. Registros de auditoría

Toda acción administrativa crítica queda registrada con fecha, usuario, IP y detalle. Retención mínima de 12 meses. Los registros no contienen datos de tarjeta: el logger enmascara automáticamente cualquier número de tarjeta o token.

7. Infraestructura

Backend en DigitalOcean (ISO 27001, SOC 2 tipo II), sitio público en Hostinger, firewall UFW con política de denegación por defecto.

8. Monitoreo y respuesta

Monitoreamos tasa de transacciones y salud del sistema. Tenemos procedimiento de respuesta a incidentes documentado. Ante brecha que afecte tus datos, notificaremos conforme a la Ley 172-13.

9. Proveedores

Todos los proveedores con acceso potencial a datos firman acuerdos de tratamiento y confidencialidad. Lista completa en la Política de Privacidad.

10. Reportar una vulnerabilidad

Si descubres una vulnerabilidad, repórtala de forma responsable a wellcome@invictvsclub.com con asunto «Security Disclosure». Confirmamos recepción en 48 horas y no tomamos acciones legales contra investigadores de buena fe.

11. Lo que tú puedes hacer

• Usa una contraseña única y fuerte.
• Activa las notificaciones de tu banco.
• Nunca compartas credenciales por correo o WhatsApp — Invictvs nunca te pedirá tu contraseña o CVV por ningún canal.
• Si sospechas uso no autorizado, escríbenos de inmediato.

12. Cambios

Actualizamos esta política con 30 días de anticipación por correo.

Preguntas: wellcome@invictvsclub.com · +1 (849) 585-2031