🛡️Aislamiento multi-tenant a nivel base de datos
Cada cliente (tenant) tiene sus datos completamente aislados mediante Row Level Security de PostgreSQL — no es un filtro a nivel de aplicación que se pueda saltear por error de código. La base misma rechaza cualquier consulta que no incluya tu identificador de tenant.
- Política RLS activa en todas las tablas que contienen datos de cliente
- Cada conexión a la base se ata a tu tenant antes de leer cualquier dato
- Auditoría continua: tests automáticos verifican que un tenant no pueda leer datos de otro
- Backups cifrados se restauran respetando el mismo aislamiento
🔐Cifrado en tránsito y en reposo
- TLS 1.2+ obligatorio en todas las comunicaciones (web, API, webhooks). HSTS activo.
- Cifrado en reposo de la base de datos y los volúmenes de adjuntos.
- Tokens y credenciales de integraciones (Meta, Google, WhatsApp) cifrados con AES-256 antes de persistirse.
- Contraseñas hasheadas con bcrypt (work factor 12). Nunca se almacenan en claro y no las podemos recuperar — solo resetear.
- Sesiones JWT firmadas con secret rotable. Expiración configurable.
⚖️RGPD / LOPDGDD — datos en España y UE
ContactSphere AI está construido como Encargado del Tratamiento bajo el Reglamento General de Protección de Datos (UE 2016/679) y la Ley Orgánica 3/2018 (LOPDGDD).
- Hosting en España: infraestructura propia en territorio nacional. Tus datos no salen de la UE.
- Acuerdo de Encargado del Tratamiento (DPA) disponible — solicitalo a soporte.
- Derechos ARCO+: acceso, rectificación, cancelación, oposición, portabilidad y limitación. Procesados en menos de 30 días.
- Política de retención configurable: definí cuántos días se conservan mensajes, leads inactivos y adjuntos. Por defecto: 365 días.
- Borrado real (purge) disponible cuando se requiere — no es solo soft delete.
- Página pública: /privacidad.html con responsable, finalidades y derechos.
📋Responsable del tratamiento
ValTIC Soluciones Informáticas S.L. · Lucas Cavaliere · Valencia, España · NIF 26887864J
Para ejercer tus derechos o consultar el DPA: soporte@valticinformatica.com
📡SLA y disponibilidad (objetivo)
Compromiso de servicio para clientes en plan Pro y Enterprise:
- Uptime objetivo: 99,0% mensual para Pro · 99,5% para Enterprise.
- Respuesta a incidencias críticas: < 4 horas hábiles (Pro) · < 1 hora (Enterprise).
- Mantenimientos programados: notificados con al menos 48h de antelación. Habitualmente fuera de horario comercial peninsular.
- Status en tiempo real: status.contactsphereai.es
El SLA completo con créditos y procedimiento de reclamación se incluye en el contrato Enterprise.
💾Backups y recuperación
- Backup automático diario de la base de datos completa.
- Retención de backups: 30 días en plan Enterprise, 7 días en Pro/Basic.
- RTO objetivo: < 4 horas en caso de incidente mayor.
- RPO objetivo: < 24 horas (pérdida máxima de datos).
🔍Medidas implementadas y planificadas
Medidas en producción:
- Aislamiento multi-tenant verificado mediante Row Level Security
- Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256)
- Registro de auditoría de acciones críticas: cambios de estado, eliminaciones y modificaciones de registros
- Sistema de permisos granular por usuario (módulo × acción)
- Infraestructura alojada en España
- Política de retención de datos configurable por tenant
Roadmap de certificaciones y refuerzos (próximos meses):
- Certificación SOC 2 Tipo I
- ISO/IEC 27001
- Pentest externo anual
- Autenticación de dos factores (2FA) obligatoria para roles administrativos
Consulta la hoja de ruta completa para más detalle.
¿Necesitas información adicional?
Si estás evaluando ContactSphere AI para una organización con requisitos de cumplimiento específicos, contáctanos. Disponemos de NDA y DPA estándar, y podemos proporcionar la documentación que requiera tu departamento de auditoría o compliance.