Seguridad
Seguridad y cifrado en CauceOS
Cómo CauceOS protege tus datos y los de tus clientes: TLS 1.3, cifrado en reposo AES-256, control de acceso por rol, autenticación multifactor y políticas de retención. Explicado para no-técnicos.
Las sesiones que procesas con CauceOS contienen conversaciones confidenciales. Tomamos esa responsabilidad en serio. Esta guía explica, en términos accesibles, las medidas que protegen tu información y la de tus clientes.
Tabla de contenidos
- Cifrado en tránsito
- Cifrado en reposo
- Control de acceso
- Autenticación y cuenta de usuario
- Aislamiento entre organizaciones
- Retención y borrado
- Respuesta a incidentes
- Preguntas comunes
Cifrado en tránsito
Toda comunicación entre tu navegador, el bot y los servidores de CauceOS viaja protegida con TLS 1.3 — el estándar más moderno de cifrado en tránsito. TLS 1.3 garantiza que nadie en la red (proveedores de internet, puntos de acceso Wi-Fi, terceros) pueda interceptar ni leer el contenido de esa comunicación.
Esto aplica a:
- El panel que abres en tu navegador
- La transcripción que viaja del bot a tu panel en tiempo real
- Cualquier petición de la API (reportes, configuración, etc.)
Qué significa para ti: Puedes usar CauceOS desde una red de Wi-Fi de hotel o aeropuerto y la comunicación está igualmente protegida.
Cifrado en reposo
Los datos almacenados en CauceOS — transcripciones, reportes, configuración — están cifrados con AES-256, el estándar usado por organizaciones financieras y de defensa. El cifrado aplica tanto a la base de datos como al almacenamiento de archivos.
Qué significa para ti: Si alguien obtuviera acceso físico a los servidores donde residen tus datos (lo cual es altamente improbable dado el entorno de hosting), no podría leer el contenido sin las claves de descifrado, que se almacenan de forma separada y segura.
Control de acceso
CauceOS usa control de acceso basado en roles (RBAC). Esto significa que cada usuario solo puede ver y modificar los datos a los que su rol le da permiso.
En una cuenta Business con varios miembros:
- Un miembro del equipo solo ve sus propias sesiones, no las de sus colegas.
- Un administrador puede ver las sesiones de todos los miembros de su organización, pero no las de organizaciones externas.
- El equipo de soporte de CauceOS no tiene acceso a tus transcripciones de forma rutinaria. Solo pueden acceder en caso de soporte técnico explícitamente autorizado por ti.
Autenticación y cuenta de usuario
Contraseñas: CauceOS delega la autenticación en un proveedor especializado de gestión de identidad. Las contraseñas nunca se almacenan en texto plano — están protegidas con hashing seguro.
Autenticación multifactor (MFA): Puedes activar MFA desde Configuración → Seguridad. Una vez activado, necesitarás tu contraseña más un código de un solo uso para iniciar sesión. Recomendamos activarla, especialmente si trabajas con datos clínicos.
Sesiones activas: Puedes ver y cerrar todas tus sesiones activas desde Configuración → Seguridad → Dispositivos activos. Si sospechas que alguien accedió a tu cuenta, cierra todas las sesiones desde allí y cambia tu contraseña inmediatamente.
Aislamiento entre organizaciones
Cada organización (cuenta individual o workspace Business) está completamente aislada. Un usuario de la organización A no puede ver, acceder ni afectar los datos de la organización B bajo ninguna circunstancia técnica.
Este aislamiento aplica a nivel de base de datos (filas etiquetadas con el ID de la organización y políticas de seguridad a nivel de fila) y a nivel de almacenamiento (directorios aislados por organización con control de acceso individual).
Retención y borrado
Retención por defecto: 90 días desde la fecha de la sesión. Después de 90 días, las transcripciones se archivan en formato comprimido en almacenamiento frío. No son accesibles desde el panel, pero sí recuperables bajo solicitud.
Borrado bajo demanda: Puedes eliminar cualquier sesión, reporte o transcripción en cualquier momento. Ver Cómo eliminar mis datos para las instrucciones completas.
Borrado completo de cuenta: Al eliminar tu cuenta, todos tus datos se eliminan del almacenamiento activo en 7 días hábiles y de las copias de seguridad en 30 días.
Respuesta a incidentes
Tenemos un proceso documentado de respuesta a incidentes de seguridad. Si se detecta un incidente que afecta datos de usuarios:
- Contenemos el incidente en el menor tiempo posible.
- Evaluamos el alcance y los datos afectados.
- Notificamos a los usuarios afectados en un plazo máximo de 72 horas desde la detección.
- Publicamos un resumen del incidente y las medidas tomadas.
Nunca hemos tenido un incidente de seguridad que afecte datos de usuarios. Este proceso existe por si alguna vez ocurriera.
Para reportar una vulnerabilidad: Si descubres algo que crees que es un problema de seguridad, escríbenos a security@cauceos.com. Respondemos en menos de 24 horas.
Preguntas comunes
¿CauceOS cumple con HIPAA? CauceOS no está certificado bajo HIPAA y no se posiciona como herramienta cubierta por HIPAA para el tratamiento de PHI (Información de Salud Protegida) de pacientes estadounidenses en contexto clínico regulado. Si tu práctica está en jurisdicción HIPAA, consulta con tu asesor legal antes de usar CauceOS con pacientes.
¿Dónde están los servidores? Los datos se almacenan en infraestructura de nube gestionada en centros de datos en la Unión Europea. La selección de región prioriza protección de datos y baja latencia.
¿Qué pasa con el audio de la sesión? El audio se procesa en tiempo real para generar la transcripción. No almacenamos archivos de audio. Una vez procesado, el audio no persiste en ningún sistema.
¿Puedo obtener un acuerdo de tratamiento de datos (DPA/ATD)? Sí. Escríbenos a support@cauceos.com con el asunto "Solicitud DPA" y te enviamos el acuerdo estándar. Si tu organización requiere un DPA personalizado, también podemos gestionarlo.
Artículos relacionados
¿Aún tienes preguntas? Escríbenos a support@cauceos.com.
Artículos relacionados
¿No encontraste lo que buscabas? Escríbenos a support@cauceos.com