Cómo protegemos tu información

Tu información, protegida por diseño

CauceOS trabaja con conversaciones que importan: sesiones de terapia, coaching, entrevistas y reuniones 1-a-1. La seguridad y la confidencialidad no son una opción — son la base sobre la que se construye todo el producto.

Esta página describe nuestras prácticas de seguridad principales. Para detalles operativos o auditorías formales, contáctanos en [email protected].

---

Cifrado y transmisión de datos

• En tránsito: todas las comunicaciones entre tu navegador, nuestros servidores y nuestros proveedores usan TLS 1.3 con perfect forward secrecy. HSTS preload activo en todo el dominio.
• En reposo: las bases de datos y el almacenamiento de archivos cifran con AES-256 o superior. Las claves de cifrado se rotan periódicamente y se gestionan con KMS.
• Audio sensible: las grabaciones se almacenan en un bucket dedicado con cifrado por defecto y acceso restringido por IAM.

Control de acceso

• Autenticación multi-factor obligatoria para todo el personal con acceso a producción.
• Principio de mínimo privilegio: cada rol obtiene únicamente los permisos necesarios para su función.
• Auditoría continua: cada acción privilegiada genera un evento inmutable en nuestro log de auditoría.
• Rotación de credenciales: secrets críticos se rotan trimestralmente o tras cualquier sospecha de exposición.

Aislamiento de datos por cliente

• Cada organización opera sobre filas etiquetadas con su identificador único.
• Las consultas a la base de datos aplican Row-Level Security a nivel de motor.
• Auditamos periódicamente que ninguna consulta cruce fronteras organizacionales.

Desarrollo seguro

• Revisión de código obligatoria antes de cualquier merge a la rama principal.
• Escaneo continuo de dependencias y aplicación de parches críticos en menos de 72 horas.
• Linters de seguridad ejecutándose en cada pull request.
• Pre-commit hooks que bloquean accidentes con secrets antes de llegar al repositorio.

Resiliencia operativa

• Backups automáticos diarios de la base de datos, con retención escalonada de 30 días.
• Recuperación de punto en el tiempo disponible en las últimas 24 horas.
• Plan de continuidad documentado y probado al menos dos veces al año.
• Monitoreo 24/7 de la salud del servicio con alertas a nuestro equipo.

Privacidad por diseño

• Retención mínima: las transcripciones se conservan en sistemas activos durante 90 días por defecto, después se archivan en almacenamiento cifrado.
• Eliminación a demanda: puedes solicitar el borrado de toda tu información en cualquier momento; cumplimos en un máximo de 30 días salvo retención legal.
• Filtrado de PII: los datos enviados a nuestro monitoreo de errores pasan por un filtro de información personal identificable.
• Analítica anonimizada: la analítica de producto se ejecuta con IP anonimizada y sin perfiles individuales.

Respuesta a incidentes

Si detectamos un incidente de seguridad que pueda afectar tus datos:

• Iniciamos la investigación en menos de 1 hora desde la detección.
• Te notificamos dentro de las 72 horas siguientes a la confirmación.
• Publicamos un post-mortem público una vez resuelto.

Para reportar una vulnerabilidad responsablemente: [email protected]. Investigamos cada reporte recibido y agradecemos a quienes contribuyen a mantener la plataforma segura.

Cumplimiento

Cumplimos con las regulaciones de protección de datos aplicables en las jurisdicciones donde operamos, incluidas normativas europeas (GDPR), estadounidenses (CCPA) y latinoamericanas correspondientes. Detalles legales específicos disponibles en /privacy y /terms.

Contacto

• Seguridad: [email protected]
• Privacidad: [email protected]
• Soporte general: [email protected]