POLÍTICA DE SEGURIDAD
de CitaChat

En CitaChat, entendemos que la seguridad de sus datos y la continuidad de su negocio son prioritarias. Esta Política de Seguridad describe los protocolos técnicos, administrativos y físicos que implementamos para proteger la integridad, confidencialidad y disponibilidad de la información procesada a través de nuestro CRM y Asistente de IA.

1. Infraestructura y Seguridad en la Nube

Nuestra arquitectura tecnológica está diseñada bajo principios de seguridad por diseño (Security by Design), alineada con los estándares descritos en la documentación técnica de CitaChat.

• Alojamiento Seguro: CitaChat está alojado en proveedores de nube de clase mundial (como AWS/Google Cloud) que cumplen con certificaciones ISO 27001 y SOC 2.
• Protección de Red: Utilizamos firewalls de aplicaciones web (WAF) y sistemas de detección de intrusos para prevenir accesos no autorizados a nuestros servidores Backend (FastAPI).
• Separación de Entornos: Los entornos de desarrollo, pruebas y producción están estrictamente segregados para evitar fugas de datos accidentales.

2. Cifrado y Protección de Datos

Implementamos medidas criptográficas robustas para proteger la información tanto cuando se almacena como cuando se transmite.

• Datos en Tránsito: Todas las comunicaciones entre su navegador, nuestra API y los servidores de WhatsApp están cifradas mediante protocolos SSL/TLS 1.2 o superior (HTTPS).
• Datos en Reposo: Las bases de datos donde almacenamos la información de leads y configuraciones de usuario están cifradas utilizando el estándar AES-256.
• Credenciales Sensibles: Las credenciales de integración con la API de WhatsApp se almacenan de forma encriptada y nunca se muestran en texto plano.

3. Seguridad del Asistente de IA y Base de Conocimiento (RAG)

Dado que CitaChat permite la carga de documentos para entrenar al Asistente de IA, aplicamos controles específicos:

• Aislamiento de Datos: Los documentos subidos se procesan en un entorno aislado. Su información no se utiliza para entrenar modelos públicos ni se comparte con otros clientes.
• Validación de Archivos: Todos los archivos cargados pasan por un escaneo automático de malware y virus.
• Supervisión: El sistema permite la intervención humana inmediata ("Human-in-the-loop") para corregir o detener al asistente si se detectan comportamientos inseguros.

4. Control de Acceso y Autenticación

El acceso a los datos está estrictamente regulado bajo el principio de "menor privilegio".

• Autenticación de Usuarios: Recomendamos y forzamos el uso de contraseñas robustas. Las sesiones se gestionan mediante tokens seguros.
• Acceso del Personal: Solo el personal técnico autorizado tiene acceso a la infraestructura backend para tareas de mantenimiento, requiriendo MFA.
• Roles y Permisos: La plataforma permite diferenciar niveles de acceso para asegurar que solo administradores modifiquen configuraciones críticas.

5. Gestión de Incidentes y Respaldo

• Copias de Seguridad (Backups): Realizamos copias de seguridad automáticas y periódicas de la base de datos y configuraciones.
• Notificación de Brechas: En caso de una violación de seguridad, CitaChat notificará al Cliente en un plazo no mayor a 72 horas.
• Monitoreo Continuo: Utilizamos herramientas de monitoreo en tiempo real para detectar anomalías o intentos de fuerza bruta.

6. Seguridad en Integraciones (WhatsApp/Meta)

CitaChat actúa como intermediario oficial utilizando la API de WhatsApp Business.

• Cumplimiento de Meta: Nos adherimos estrictamente a las políticas de seguridad y comercio de Meta.
• Tokens de API: Es responsabilidad del cliente mantener la confidencialidad de sus tokens de API de WhatsApp.

7. Responsabilidades del Cliente

La seguridad es una responsabilidad compartida. Usted acepta:

• No compartir sus credenciales de acceso con terceros.
• Asegurar los dispositivos desde los cuales accede a CitaChat.
• No cargar información altamente sensible (médica protegida o bancaria) no necesaria para la función de ventas.