Políticas de Privacidad y Seguridad Corporativa

En nuestra organización, la gobernanza de datos y la confidencialidad de la información son principios rectores innegociables. Este documento detalla exhaustivamente los marcos operativos, técnicos y legales mediante los cuales recopilamos, procesamos, almacenamos y resguardamos la información de empresas asociadas (clientes B2B), sus usuarios finales y nuestros propios empleados.

Nuestros protocolos están diseñados desde su concepción bajo el modelo de Privacidad por Diseño (Privacy by Design). Operamos en estricta concordancia con marcos normativos internacionales, incluyendo, pero no limitándose al Reglamento General de Protección de Datos (GDPR) de la Unión Europea y la Ley de Protección de Datos Personales. Esta política está estructurada para cumplir proactivamente con los requerimientos más exigentes de auditoría B2B, evaluaciones de riesgos de proveedores y procesos de Due Diligence.

Actuamos bajo el principio rector de minimización de datos. Recolectamos única y exclusivamente la información estrictamente necesaria para la prestación y mejora de nuestros servicios:

• Identidad y Acceso (PII Básica)Recopilamos información corporativa esencial (nombre, apellido, correo, cargo y rol) bajo la base legal de Cumplimiento Contractual, ya que estos datos son un requisito técnico indispensable para aprovisionar los usuarios y garantizar el acceso seguro a la plataforma B2B.
• Operativos y de RendimientoProcesamos los resultados de evaluaciones, certificaciones y el progreso en la plataforma amparados en el Interés Legítimo y el cumplimiento de nuestros acuerdos de servicio (SLAs). Esto nos permite generar los reportes analíticos que la empresa contratante requiere.
• Telemetría y Seguridad LogísticaRegistramos datos de infraestructura (como IPs anonimizadas, logs de auditoría y estampas de tiempo) bajo la Obligación Legal y el interés legítimo de mantener la plataforma blindada, previniendo fraudes y mitigando intentos de ataques.

Mantenemos una arquitectura de seguridad robusta, de grado empresarial (Enterprise-grade), diseñada bajo los estrictos controles de la industria (inspirada en ISO/IEC 27001 y criterios SOC 2 Type II), para garantizar la máxima resiliencia contra amenazas:

• Cifrado de Extremo a ExtremoToda la comunicación de datos en tránsito está obligatoriamente cifrada utilizando protocolos criptográficos modernos (TLS 1.2 / TLS 1.3). La información en reposo está protegida mediante encriptación de bloque AES-256 gestionada por nuestros proveedores (KMS).
• Control de Acceso (RBAC) y RedAplicamos segmentación lógica estricta de bases de datos por inquilino (Multitenancy seguro). El acceso interno está regido por el Principio de Privilegio Mínimo Estricto (PoLP), autenticación multifactor (MFA) obligatoria, y VPNs auditadas.
• Auditorías y Gestión de VulnerabilidadesEjecutamos escaneos automatizados en nuestro código fuente (SAST/DAST). Mantenemos firewalls de aplicaciones web (WAF) activos para mitigar inyecciones SQL/XSS, y contamos con mitigación DDoS nativa en nuestra infraestructura Edge.

Para garantizar que nuestra plataforma esté disponible cuando la necesites, contamos con un Plan de Recuperación ante Desastres (DRP) y políticas de alta disponibilidad (HA).

• Redundancia Geográfica: Nuestra infraestructura está desplegada en múltiples zonas de disponibilidad (Availability Zones) para evitar puntos únicos de fallo (SPOF).
• Políticas de Respaldo (Backups): Realizamos copias de seguridad de las bases de datos de forma continua (Point-in-Time Recovery) y backups completos diarios, encriptados y almacenados en frío por un período de 30 días.
• SLA de Disponibilidad: Nos comprometemos a un tiempo de actividad operativo (Uptime) del 99.9%, monitoreado por sistemas de alerta externos 24/7.

Para la provisión eficiente de nuestros servicios, dependemos de proveedores de infraestructura en la nube y herramientas especializadas de terceros (Subprocesadores). No comprometemos la seguridad delegando responsabilidades; exigimos el mismo estándar que nosotros mismos aplicamos.

• Due Diligence y Auditoría:Únicamente colaboramos con proveedores líderes del mercado que posean certificaciones reconocidas y auditables (ISO 27001, SOC 2 Type II, FedRAMP, o conformidad total con GDPR).
• Acuerdos de Procesamiento de Datos (DPA):Mantenemos Data Processing Agreements firmados y vigentes con cada subprocesador que tenga interacción directa o indirecta con los datos operativos, asegurando que están legalmente vinculados a proteger la confidencialidad.
• Transparencia y Notificación:Mantenemos un registro actualizado de todos los subprocesadores. Notificaremos a los clientes B2B administradores con al menos 30 días de anticipación ante la incorporación de cualquier nuevo subprocesador crítico.

La implementación de algoritmos y Modelos de Lenguaje Grande (LLMs - Generative AI) en nuestros flujos operativos representa una ventaja competitiva, pero operamos bajo estrictos lineamientos inquebrantables de IA Responsable.

• 1. Privacidad Cero-Entrenamiento (Zero-Retention APIs)

  Aseguramos contractualmente (vía APIs corporativas) que ningún dato ingresado por el usuario, ni la información propietaria del cliente B2B, se utiliza para entrenar, reentrenar o aplicar fine-tuning a los modelos fundacionales de nuestros proveedores (ej. OpenAI, Anthropic, Google). Toda interacción de datos es estrictamente transitoria y no se almacena en el historial del modelo.

• 2. Mitigación de Sesgos y Guardrails (Muros de Contención)

  Los modelos operan confinados dentro de estrictos marcos de Prompt Engineering y flujos de automatización controlados. Esto limita drásticamente el contexto para reducir al mínimo las alucinaciones algorítmicas y asegurar respuestas objetivas, neutrales y libres de sesgos discriminatorios.

• 3. Diseño Centrado en el Humano (Human-in-the-Loop)

  Rechazamos la automatización ciega. La IA en nuestra plataforma se emplea exclusivamente como una herramienta de asistencia cognitiva. Las decisiones finales, especialmente aquellas de impacto corporativo, evaluativo o contractual, siempre cuentan con flujos que permiten validación o supervisión humana.

Debido a la naturaleza global y redundante de los servicios modernos de computación en la nube, es posible que la información sea procesada, enrutada o almacenada en servidores físicos ubicados fuera de la jurisdicción nacional o regional del cliente (ej. fuera del Espacio Económico Europeo o LATAM).

Reconocemos que los datos le pertenecen a las personas y empresas que los generan. Facilitamos el ejercicio pleno de los derechos de privacidad, sin importar la jurisdicción desde la que operen nuestros usuarios.

Para ejercer cualquiera de los derechos mencionados, escalar una preocupación sobre seguridad, o solicitar la documentación completa de cumplimiento (ej. resúmenes de SOC2 o listado completo de subprocesadores bajo NDA), nuestro equipo legal y de seguridad informática está a su disposición.

Modificaciones a la Política: Nos reservamos el derecho de actualizar este documento periódicamente para reflejar cambios tecnológicos o normativos. Las modificaciones sustanciales serán notificadas por correo electrónico a los administradores B2B con antelación a su entrada en vigor.