CitaChat Logo
Comenzar arrow_forward

POLÍTICA DE SEGURIDAD
CitaChat LLC

Última actualización: 12 de abril de 2026

En CitaChat, entendemos que la seguridad de sus datos y la continuidad de su negocio son prioritarias. Esta Política de Seguridad describe los protocolos técnicos, administrativos y físicos que implementamos para proteger la integridad, confidencialidad y disponibilidad de la información procesada a través de nuestra plataforma de agentes de IA conversacional.

1. Infraestructura y Seguridad en la Nube

Nuestra arquitectura tecnológica está diseñada bajo principios de seguridad por diseño (Security by Design).

  • Alojamiento Seguro: CitaChat está alojado en Railway (infraestructura sobre AWS), proveedor que cumple con certificaciones SOC 2 Type II e ISO 27001.
  • Protección de Red: Utilizamos firewalls de aplicaciones web (WAF) y sistemas de detección de anomalías para prevenir accesos no autorizados.
  • Separación de Entornos: Los entornos de desarrollo, pruebas y producción están estrictamente segregados para evitar fugas de datos accidentales.
  • Alta disponibilidad: La arquitectura está diseñada para mantener disponibilidad continua del servicio con monitoreo en tiempo real.

2. Cifrado y Protección de Datos

Implementamos medidas criptográficas robustas para proteger la información tanto en tránsito como en reposo.

  • Datos en Tránsito: Todas las comunicaciones entre el navegador del Usuario, nuestra API y los servidores de WhatsApp/Meta están cifradas mediante TLS 1.2 o superior (HTTPS obligatorio).
  • Datos en Reposo: Las bases de datos donde almacenamos información de leads y configuraciones están cifradas con AES-256.
  • Credenciales Sensibles: Los tokens de API de WhatsApp y credenciales de integración se almacenan cifrados y nunca se exponen en texto plano, logs o interfaces de usuario.
  • Tokens de acceso: Se implementa rotación periódica de tokens de autenticación internos.

3. Seguridad del Agente de IA y Base de Conocimiento

Dado que CitaChat permite la carga de documentos y configuraciones para el Agente de IA, aplicamos controles específicos:

  • Aislamiento de Datos por Cliente: La información y configuraciones de cada cliente son procesadas en contextos aislados. Los datos de un cliente nunca son accesibles por otro cliente ni se mezclan en los modelos de respuesta.
  • Datos para I+D de IA propia: Los datos utilizados para el desarrollo de modelos propios de CitaChat son anonimizados antes de cualquier procesamiento con esta finalidad. Los identificadores directos son eliminados sistemáticamente. (Ver Política de Privacidad §6.)
  • Validación de Archivos: Todos los archivos cargados a la Plataforma pasan por validación de formato y escaneo de contenido malicioso.
  • Supervisión Humana: El sistema permite la intervención humana inmediata para corregir o detener al Agente si se detectan comportamientos anómalos o respuestas inapropiadas.

4. Control de Acceso y Autenticación

El acceso a los datos está regulado bajo el principio de mínimo privilegio.

  • Autenticación de Usuarios: Se implementan sesiones gestionadas mediante tokens seguros con expiración automática.
  • Acceso del Personal de CitaChat: Solo el personal técnico autorizado tiene acceso a infraestructura de producción, requerimiento de autenticación multi-factor (MFA) obligatorio.
  • Roles y Permisos: La plataforma diferencia niveles de acceso para garantizar que solo administradores autorizados modifiquen configuraciones críticas del Agente.
  • Auditoría de Accesos: CitaChat mantiene logs de acceso al sistema por parte del personal interno, disponibles para revisión en caso de incidente.

5. Gestión de Incidentes y Respaldo

  • Copias de Seguridad (Backups): Realizamos copias de seguridad automáticas y periódicas de la base de datos y configuraciones.
  • Notificación de Brechas: En caso de una violación de seguridad que afecte datos personales de usuarios, CitaChat notificará al Cliente afectado en un plazo no mayor a 72 horas desde la detección, conforme a los estándares del GDPR y las políticas de Meta Platforms Inc.
  • Monitoreo Continuo: Utilizamos herramientas de observabilidad (incluyendo Langfuse para monitoreo de IA) para detectar anomalías, comportamientos inusuales o intentos de acceso no autorizado en tiempo real.
  • Plan de Respuesta a Incidentes: CitaChat cuenta con un procedimiento interno documentado de respuesta a incidentes de seguridad, que incluye contención, análisis, notificación y mejora post-incidente.

6. Seguridad en Integración con Meta / WhatsApp Business API

CitaChat opera como proveedor tecnológico verificado por Meta Platforms Inc. para el uso de la API de WhatsApp Business (Cloud API).

  • Cumplimiento de Meta: Nos adherimos estrictamente a las Condiciones del Servicio de la Plataforma de Meta, la Política Comercial de WhatsApp y los requisitos de seguridad para proveedores BSP.
  • Integración Directa: CitaChat integra la API de WhatsApp directamente (sin intermediarios BSP adicionales), eliminando puntos de fallo adicionales y reduciendo la exposición de datos en tránsito.
  • Tokens de API de WhatsApp: Los tokens de acceso del cliente a WhatsApp se almacenan cifrados. Es adicionalmente responsabilidad del cliente mantener la confidencialidad de sus credenciales de Meta Business.
  • Auditoría de Mensajes: CitaChat mantiene logs de interacciones de WhatsApp conforme a los requisitos de Meta para proveedores verificados.

7. Solicitudes de Autoridades — Procedimiento de Seguridad

CitaChat cuenta con un protocolo interno para gestionar solicitudes de acceso a datos por parte de autoridades públicas:

  • Toda solicitud es revisada por el equipo de dirección para validar su legalidad y proporcionalidad antes de cualquier acción.
  • CitaChat documentará internamente cada solicitud recibida, incluyendo la base legal invocada, los datos eventualmente divulgados y el razonamiento aplicado.
  • En caso de solicitudes que se consideren ilegítimas, excesivas o contrarias a los derechos de los titulares, CitaChat se reserva el derecho de recusarlas judicialmente.
  • CitaChat notificará al Usuario afectado en la medida en que la ley aplicable lo permita.

8. Responsabilidades del Cliente

La seguridad es una responsabilidad compartida. El Usuario acepta:

  • No compartir sus credenciales de acceso con terceros.
  • Asegurar los dispositivos desde los cuales accede a CitaChat.
  • No cargar información altamente sensible (datos médicos protegidos, información bancaria o financiera regulada) que no sea necesaria para la función de atención comercial automatizada.
  • Mantener actualizadas las configuraciones del Agente para reflejar cambios en sus productos, servicios o políticas de atención.
  • Notificar a CitaChat de inmediato ante cualquier sospecha de uso no autorizado de su cuenta.

9. Contacto de Seguridad

Para reportar vulnerabilidades, incidentes de seguridad o solicitudes de auditoría:

Correo: soporte@citachat.co
Teléfono: +57 311 635 4428

CitaChat valora la divulgación responsable de vulnerabilidades y responderá en un plazo no mayor a 48 horas hábiles.

CitaChat LLC — soporte@citachat.co — citachat.co