> ## Documentation Index
> Fetch the complete documentation index at: https://docs.fluz.app/llms.txt
> Use this file to discover all available pages before exploring further.

# Seguridad y cumplimiento

> Cómo Fluz protege fondos, datos de clientes y credenciales de tarjeta — y qué significa eso para tu integración.

Fluz está diseñado para mantenerte fuera de alcance respecto a las partes de la infraestructura financiera que son más difíciles de hacer bien.

## Certificaciones

* **SOC 2 Tipo II** — auditado anualmente.
* **PCI DSS Nivel 1** — el nivel más alto de cumplimiento para datos de tarjetas.
* **Socios bancarios asegurados por la FDIC** — los saldos se mantienen en instituciones estadounidenses aseguradas.

## Protección de datos

* TLS 1.2+ requerido para cada solicitud; versiones anteriores rechazadas en el balanceador de carga.
* Datos cifrados en reposo con AES-256.
* Los PAN, CVV y PIN nunca aparecen en tus registros: solo son accesibles a través de [widgets](/developers/widgets) compatibles con PCI.
* Secretos rotados automáticamente; las claves de API y secretos de OAuth se pueden rotar bajo demanda desde el panel.

## Monitoreo de fraude

* Equipo de operaciones antifraude 24/7 monitoreando transacciones en tiempo real.
* Puntuación basada en ML en cada autorización.
* Controles automáticos de velocidad; puedes agregar tus propias reglas desde el panel.
* Retenciones opcionales para revisión manual en flujos de alto riesgo.

## Tus responsabilidades

1. **Nunca envíes valores de `clientSecret` a un cliente.** Genera tokens de acceso de Mint en tu servidor.
2. **Verifica las firmas de los webhooks** antes de confiar en un payload. Consulta [Configurar App Widget](/developers/configure-app-widget) para la configuración de la URL del webhook.
3. **Limita el alcance de los tokens.** Solicita únicamente los alcances que realmente uses: genera un token nuevo cuando necesites un acceso más amplio.
4. **Persiste tus propios IDs de operación** para que los reintentos caigan de forma segura bajo desduplicación (ver [Idempotencia](/concepts/idempotency)).
5. **Rota los secretos de la aplicación** ante la rotación de personal y después de cualquier exposición sospechosa.

## Reportar una vulnerabilidad

Envía un correo a `humans@fluz.app` con los pasos de reproducción. Acusamos recibo dentro de un día hábil y coordinamos los plazos de divulgación con los reporteros.
