Resumen técnico

Seguridad

Lo que hacemos para proteger tus datos y los de tus clientes.

Cifrado

En tránsito: TLS 1.3 con HSTS forzado en todas las conexiones
En reposo: AES-256 para la base de datos y backups
Tokens de canal (Meta, Twilio, etc.): encriptados con clave maestra rotada cada 90 días
Contraseñas: bcrypt con factor 12 — nunca almacenamos en plano

Infraestructura

Datacenters SOC 2 Type II certificados (US-East-1 / EU-West-1)
Aislamiento por organización a nivel de query (multi-tenant con row-level scoping)
Backups automáticos cada 24h con retención de 30 días
Failover automático: RTO 15min, RPO 1h

Acceso y autenticación

2FA disponible para todos los usuarios (TOTP)
5 roles con permisos granulares (owner · admin · manager · agente · miembro)
Tokens de API con scope y expiración configurable
Sesiones invalidables manualmente desde "Mis sesiones"
SSO via SAML/OIDC disponible en plan Business

Webhooks y APIs

Webhooks salientes firmados con HMAC-SHA256 para que verifiques origen
Webhooks entrantes (Meta, etc.) validados con x-hub-signature-256
Rate limiting por organización: 60 req/min en endpoints públicos, 1000 req/min con token

Auditoría

Activity log inmutable: cada acción sensible queda registrada con actor, timestamp, IP
Logs retenidos 90 días + 5 años para movimientos financieros
Acceso de super-admin a una org queda explícitamente marcado

Cumplimiento

GDPR (Unión Europea) · derecho de acceso, rectificación, borrado y portabilidad
LFPDPPP (México) · cumplimos los principios de la ley federal
Habeas Data (Colombia) · derecho a conocer, actualizar y rectificar
WhatsApp Business Policy: aplicamos todos los requisitos de Meta para canales
PCI-DSS: no almacenamos datos de tarjeta — pasarela Wompi maneja PCI

Vulnerabilidades

Si encontraste un fallo de seguridad, contáctanos antes de divulgar:

security@wapsy.co (PGP key disponible bajo solicitud)

Reconocemos públicamente y pagamos bug bounty entre $50–$5,000 USD según severidad.

Estado de la plataforma

Monitoreo en vivo: status.wapsy.co