Seguridad y privacidad
Cómo tratamos sus datos.
Somos un pequeño equipo que está desarrollando un CRM para otros equipos pequeños. No tiene por qué fiarse ciegamente de lo que le contamos en esta página: cada afirmación que figura a continuación se corresponde con algo que puede comprobar en el producto, en el DPA o preguntándonos directamente.
Cifrado en reposo
Todos los campos de contacto se cifran en reposo mediante AES-256-GCM. Cada cliente dispone de su propia clave de cifrado. Los datos de un espacio de trabajo no pueden descifrarse utilizando la clave de otro espacio de trabajo, ni nosotros podemos hacerlo, ni tampoco un atacante que consiga acceder a la base de datos.
Las claves se gestionan en un servicio de gestión de claves, no se almacenan junto a los datos. Si cancela su suscripción, su clave de cliente se puede retirar y el texto cifrado restante se vuelve ilegible.
Aislamiento de los inquilinos
El aislamiento a nivel de fila para múltiples inquilinos se aplica en la base de datos, no en el código de la aplicación. El ámbito de cada consulta se limita a su ID de inquilino en la capa de Postgres. Las lecturas entre inquilinos no son una opción configurable, sino que son técnicamente imposibles a nivel de la base de datos.
Registro de auditoría
Cada modificación se registra indicando el responsable, el registro afectado, los valores anteriores y los nuevos, así como la marca de tiempo. Los administradores del espacio de trabajo pueden exportar el registro de auditoría completo en cualquier momento. Los registros son de solo adición.
Autenticación
Los administradores de la plataforma se autentican mediante WebAuthn o claves de acceso: sin contraseñas compartidas ni autenticación de dos factores (2FA) basada en SMS. Los usuarios del espacio de trabajo inician sesión con su correo electrónico y una clave de acceso o una contraseña; las cuentas con contraseña utilizan Argon2id con salts específicas para cada usuario.
Ámbito de aplicación de la IA
Nexus, nuestro asistente de IA, cuenta con más de 60 herramientas vinculadas al esquema de su espacio de trabajo. No tiene visibilidad sobre otros inquilinos y no puede realizar llamadas salientes a servicios externos en su nombre sin una integración explícita y delimitada.
De forma predeterminada, la inferencia de IA se ejecuta en AWS Bedrock en la UE, con una configuración de retención cero: las indicaciones y los resultados no se registran ni se utilizan para entrenar ningún modelo.
Asuntos jurídicos y cumplimiento normativo
Cumple con el RGPD. Disponemos de un DPA que su contacto jurídico puede solicitar en este mismo momento; consulte el DPA.
Las solicitudes de derecho al olvido se gestionan directamente en el producto: un administrador puede eliminar un contacto y el registro de auditoría deja constancia de dicha eliminación. Las solicitudes de acceso de los interesados se gestionan a través de [email protected].
Véase también: nuestra Política de privacidad, las Condiciones del servicio y la lista de subencargados del tratamiento.
Lo que aún no tenemos
No contamos con la certificación SOC 2 Tipo II ni con la ISO 27001.
Esas certificaciones forman parte de nuestro plan de trabajo, pero no queremos dar a entender que ya las tengamos. Si su equipo de compras las exige en este momento, FlowGrid aún no es la solución adecuada para ustedes, y no vamos a fingir lo contrario.
No cumplimos con la HIPAA ni con el BAA. FlowGrid no está diseñado para flujos de trabajo sanitarios; si su caso de uso requiere el tratamiento de información médica protegida (PHI), nuestra herramienta no es la adecuada.
Si, de todos modos, está evaluando nuestros servicios, lo más útil que podemos ofrecerle es: el DPA mencionado anteriormente, esta página, una línea directa con el equipo y acceso de lectura al producto en funcionamiento para que su responsable de seguridad pueda examinarlo a fondo.
¿Tiene alguna pregunta que no haya sido respondida en esta página?
Envíenos un correo electrónico. Le responderá una persona real de nuestro equipo, no un sistema de gestión de incidencias.
[email protected]