Cifrado en reposo
Todos los datos en bases de datos y almacenamiento de objetos se cifran con AES-256, gestionado por nuestros proveedores de infraestructura.
Seguridad institucional
La seguridad no es una sección.
Es el cimiento.
Cuando una organización nos confía su información, asumimos una responsabilidad que no se puede tomar a la ligera. Estos son los principios y prácticas con las que operamos.
Nuestra postura
Tres principios no negociables.
01
Privacidad por defecto
Tus datos son tuyos. No los usamos para entrenar modelos ajenos, no los vendemos y no los compartimos con terceros con fines comerciales.
02
Transparencia operativa
Documentamos qué guardamos, dónde lo guardamos, quién puede acceder y por cuánto tiempo. Si lo preguntas, lo respondemos con números, no con marketing.
03
Diseño antes que parche
Las medidas de seguridad están en el código desde el primer commit. No las metemos después de un incidente — las pensamos antes de que pueda haberlo.
Cómo lo hacemos
Ocho controles que sostienen todo el resto.
Cada uno con su responsable, su procedimiento y su evidencia. Disponibles para auditar bajo acuerdo de confidencialidad.
Cifrado en tránsito
Toda la comunicación con nuestras plataformas viaja sobre TLS 1.3. Certificados renovados automáticamente por Let's Encrypt.
Control de acceso granular
Roles, permisos por módulo y autenticación multifactor (MFA) opcional para cuentas administrativas. Principio de privilegio mínimo.
Auditoría inmutable
Cada acción crítica queda registrada con timestamp, usuario, IP de origen y hash encadenado tipo Merkle. Imposible alterar sin dejar rastro.
Infraestructura AWS
Datos alojados en regiones de AWS. Aislamiento por cliente, segregación lógica de bases de datos, despliegues continuos automatizados.
Backups automatizados
Respaldos diarios automáticos de bases de datos con retención de 30 días. Plan de recuperación ante desastres documentado y probado.
Gestión de incidentes
Procedimiento documentado de respuesta a incidentes. Notificación a clientes afectados dentro de las 72 horas siguientes a la detección.
Política de divulgación
Si encuentras una vulnerabilidad, escríbenos. Respondemos en menos de 48 horas y reconocemos a quienes reportan responsablemente.
Cumplimiento
Hecho con criterio colombiano.
Diseñamos teniendo presente la normativa que aplica a las organizaciones colombianas. No improvisamos cuando se trata de tus obligaciones legales.
Habeas Data — Ley 1581 de 2012
Política de tratamiento publicada y accesible. Autorización explícita en cada formulario. Mecanismo formal para que el titular ejerza sus derechos ARCO en menos de 15 días hábiles.
Decreto 1377 de 2013
Reglamentación operativa de Ley 1581 aplicada en nuestros procesos: registro de autorizaciones, finalidad clara, conservación limitada en el tiempo.
Marco de protección al consumidor
Términos y condiciones claros, derecho de retracto cuando aplique, canales formales para reclamaciones y respuesta dentro de los tiempos legales.
Soberanía de los datos
Tu información se aloja en regiones AWS bajo nuestra administración directa. No se replica a jurisdicciones que comprometan su confidencialidad.
Transparencia operativa
Subprocesadores públicos.
Estas son las empresas con las que trabajamos para operar nuestros servicios. Todas están vinculadas por acuerdos de confidencialidad y procesan datos siguiendo nuestras instrucciones.
Proveedor
Función
Región
Amazon Web Services
Infraestructura, base de datos, almacenamiento
Regiones AWS
Vercel
Hosting del sitio web institucional
Edge Network global
Cloudflare
DNS y mitigación DDoS (sitios públicos)
Red global
Resend / Amazon SES
Envío de correos transaccionales
EE.UU.
Anthropic / OpenAI
Servicios de IA bajo política de no-entrenamiento
EE.UU.
La lista puede cambiar conforme evolucionan nuestros servicios. Notificamos a clientes vinculados por contrato cualquier cambio sustancial con anticipación razonable.
Contacto · seguridad
¿Una pregunta técnica?
Te respondemos.
Para auditorías de seguridad, reportes de vulnerabilidades o preguntas técnicas sobre nuestra postura.