Encontrando tu ruta
Preparando tu viaje por Panamá
Horarios, paradas y conexiones se alinean antes de mostrarte la mejor salida.
Buses Panamá está preparando la mejor ruta disponible para tu viaje.
Buses Panamá
Horarios, paradas y conexiones se alinean antes de mostrarte la mejor salida.
Buses Panamá está preparando la mejor ruta disponible para tu viaje.
Buses Panamá
En Buses Panamá entendemos que la confianza se construye con transparencia. Esta página detalla las medidas técnicas, organizativas y de infraestructura que implementamos para proteger tu información personal y garantizar que tu experiencia en la plataforma sea segura de principio a fin.
Última actualización:
Todo el tráfico entre tu navegador y los servidores de Buses Panamá viaja cifrado mediante TLS 1.3, la versión más reciente del protocolo de seguridad en la capa de transporte. Utilizamos certificados gestionados automáticamente a través de la infraestructura de Vercel y Let’s Encrypt, lo que garantiza que no existan páginas o recursos servidos sin cifrado.
Esto significa que cualquier dato que intercambies con la plataforma —desde una consulta de rutas hasta el inicio de sesión— viaja protegido contra intercepciones, ataques de intermediario (MITM) y escuchas en redes Wi-Fi públicas o no confiables.
Nuestros servidores envían la cabecera HSTS para indicarle a tu navegador que siempredebe conectarse mediante HTTPS, incluso si escribes manualmente «http://» en la barra de direcciones. Esto elimina el riesgo de ataques de degradación de protocolo (downgrade attacks).
Aplicamos un conjunto de cabeceras de seguridad HTTP en cada respuesta del servidor, incluyendo:
Buses Panamá utiliza Supabase Auth como motor de autenticación. No almacenamos contraseñas en nuestros servidores ni te pedimos que crees una. En su lugar, utilizamos magic links (enlaces de acceso único enviados a tu correo electrónico) y autenticación con proveedores OAuth como Google.
Este enfoque elimina por completo los riesgos asociados a contraseñas débiles, reutilizadas o filtradas en otros servicios: no hay clave que alguien pueda adivinar, interceptar o robar.
Cada enlace de acceso tiene una validez limitada en el tiempo y es de un solo uso. Una vez que haces clic en el enlace e inicias sesión, este se invalida automáticamente. Si alguien más obtuviera el enlace después de que tú lo usaste, no podría acceder a tu cuenta.
Una vez autenticado, tu sesión se mantiene mediante tokens JWT (JSON Web Tokens) firmados criptográficamente. Estos tokens tienen un tiempo de vida limitado y son renovados periódicamente. Los tokens de acceso y de actualización (refresh tokens) se almacenan de forma segura en el navegador y nunca son accesibles desde JavaScript malicioso (flags HttpOnly y Secure).
Supabase Auth implementa protección automatizada contra ataques de fuerza bruta, incluyendo rate limiting por dirección IP y bloqueo temporal tras múltiples intentos fallidos. Además, cualquier intento de inicio de sesión desde una ubicación o dispositivo no reconocido puede activar verificaciones adicionales.
Recopilamos únicamente los datos estrictamente necesarios para operar la plataforma y mejorar tu experiencia:
Hay datos que conscientemente no recopilamos por respeto a tu privacidad:
Conservamos tus datos personales únicamente mientras mantengas una cuenta activa en Buses Panamá. Si decides eliminar tu cuenta, todos tus datos asociados —incluyendo rutas guardadas y preferencias— se borran de forma permanente en un plazo máximo de 30 días. Puedes solicitar la eliminación en cualquier momento desde la sección de configuración de tu perfil o escribiéndonos a privacidad@busespanama.com.
Todas las rutas que guardas en Buses Panamá son privadas por defecto. Solo tú, como titular de la cuenta, puedes verlas cuando inicias sesión. No compartimos tus rutas guardadas con otros usuarios, cooperativas de transporte ni terceros.
Puedes gestionar tus rutas guardadas en cualquier momento desde tu perfil: agregar nuevas, editar las existentes o eliminarlas. Cada ruta guardada está vinculada exclusivamente a tu cuenta y no es accesible desde ninguna otra sesión.
A diferencia de otras plataformas, en Buses Panamá no existen perfiles públicos ni listas de rutas visibles para otros usuarios. No publicamos rankings, listas de favoritos ni ninguna otra funcionalidad que exponga tus preferencias de viaje.
Buses Panamá se encuentra en proceso de implementar un sistema de boletos digitales y códigos QR para facilitar el abordaje en las rutas interprovinciales. A continuación describimos las medidas de seguridad que aplicaremos cuando esta funcionalidad esté disponible.
Cada boleto generará un código QR dinámico y cifrado que contiene la información de la transacción: ruta, fecha, asiento (si aplica) y un identificador único. El QR se genera con un token criptográfico firmado por el servidor, lo que impide su falsificación o modificación.
Los códigos QR incluyen mecanismos de verificación que permiten a los inspectores y conductores de las cooperativas validar la autenticidad del boleto en tiempo real. Cualquier intento de duplicar, modificar o generar un QR fraudulento será detectado durante la validación y el acceso será denegado.
El código QR de cada boleto se actualiza periódicamente y deja de ser válido una vez que la ruta ha sido completada o el boleto ha sido utilizado. Esto hace que capturar una imagen del QR para usarlo después sea inútil: cada QR solo funciona en el momento y contexto para el que fue emitido.
El sistema de boletos no almacena datos financieros sensibles (números de tarjeta, códigos de seguridad, etc.). Los pagos, cuando estén disponibles, serán procesados a través de pasarelas de pago externas certificadas PCI DSS y nunca retendremos información de pago en nuestros servidores.
Buses Panamá está desplegada en Vercel, una plataforma de cloud computing con certificaciones SOC 2 Tipo II y cumplimiento GDPR. Vercel opera en centros de datos distribuidos globalmente con redundancia geográfica, protección contra ataques DDoS a nivel de red y monitoreo continuo de la infraestructura.
Los datos de la aplicación se almacenan en Supabase (PostgreSQL), una plataforma de backend como servicio con cifrado en reposo (AES-256). Las conexiones a la base de datos utilizan TLS 1.3 y los accesos están restringidos mediante políticas de seguridad a nivel de fila (Row Level Security), lo que garantiza que cada usuario solo pueda acceder a sus propios datos.
Toda la información almacenada en Supabase —bases de datos, archivos de almacenamiento de objetos y backups— está cifrada en reposo utilizando el estándar AES-256. Las claves de cifrado son gestionadas por el proveedor de infraestructura y rotadas periódicamente.
Supabase realiza copias de seguridad automáticas diarias de la base de datos con retención de hasta 7 días. En caso de un incidente grave, podemos restaurar el servicio a partir de estas copias con un objetivo de tiempo de recuperación (RTO) de menos de 4 horas. Los backups también están cifrados en reposo y se almacenan en una región separada para mayor redundancia.
Implementamos herramientas de monitoreo continuo que alertan ante patrones anómalos de tráfico, intentos de acceso no autorizados, picos inesperados de carga o comportamientos sospechosos en la plataforma. El equipo técnico recibe notificaciones en tiempo real y puede actuar de inmediato ante cualquier incidente.
El acceso a los sistemas de producción —servidores, bases de datos, paneles de administración, variables de entorno— está limitado al mínimo número de personas necesario para operar el servicio. Utilizamos el principio de mínimo privilegio: cada miembro del equipo tiene acceso únicamente a los recursos que necesita para realizar su trabajo, y nada más.
El acceso a producción requiere autenticación multifactor (MFA) y todas las acciones administrativas quedan registradas en un registro de auditoría inmutable.
Todo cambio en el código de la plataforma —ya sea una nueva funcionalidad, una corrección de errores o una actualización de dependencias— pasa por un proceso de revisión de código (code review) por al menos otra persona del equipo antes de ser desplegado a producción. Esto asegura que los cambios sean examinados desde una perspectiva de seguridad, calidad y rendimiento antes de llegar a los usuarios.
Utilizamos herramientas automatizadas de análisis de vulnerabilidades (Dependabot en GitHub y escaneos periódicos con npm audit y Snyk) para detectar dependencias con vulnerabilidades conocidas. Las actualizaciones de seguridad se aplican con prioridad, y cualquier dependencia que no pueda ser actualizada se evalúa y, si es necesario, se reemplaza.
Las claves de API, tokens de acceso y contraseñas nunca se almacenan en el código fuente ni en repositorios. Se gestionan exclusivamente a través de variables de entorno cifradas en la plataforma de despliegue (Vercel) y se rotan periódicamente. El acceso a estas variables está restringido y auditado.
Si eres investigador de seguridad, desarrollador o usuario y descubres una vulnerabilidad en Buses Panamá, te agradecemos que nos ayudes a mantener la plataforma segura reportándola de manera responsable. No te alentamos a realizar pruebas que puedan degradar el servicio, acceder a datos de otros usuarios o violar la ley.
Escríbenos a seguridad@busespanama.com con los siguientes detalles:
Al recibir tu reporte, nos comprometemos a:
Creemos que la seguridad es un proceso continuo, no un destino. Esta página se actualizará a medida que implementemos nuevas medidas, herramientas o procesos. Si tienes preguntas adicionales sobre nuestras prácticas de seguridad, escríbenos a seguridad@busespanama.com.