Compliance · Seguridad

Cómo protegemos tus datos

Arquitectura, controles y procesos que hacen a qallix una plataforma de grado empresarial. Transparencia total: publicamos aquí todo lo relevante para tu equipo de seguridad.

LFPDPPP
Vigente
SOC 2 Type II
En proceso
ISO 27001
En proceso
Uptime SLA
99.9%

Sección 01Arquitectura y alojamiento

qallix opera sobre infraestructura cloud de grado empresarial con redundancia geográfica. Los componentes principales:

  • Compute: VPS Tier-1 en múltiples regiones (US-West, US-East) con auto-scaling horizontal
  • Base de datos: PostgreSQL gestionado (Supabase) con replicación maestro-réplica
  • Cola de mensajes: Redis con persistencia AOF
  • CDN y DDoS: Cloudflare con políticas WAF activas
  • Telefonía: Retell AI / Twilio con failover automático
  • Almacenamiento: S3 con versioning y cross-region replication

Todos los ambientes (desarrollo, staging, producción) están estrictamente aislados. No compartimos credenciales ni datos entre ambientes.

Sección 02Cifrado

2.1 En tránsito

  • TLS 1.3 obligatorio para todas las conexiones HTTP
  • HSTS habilitado con max-age de 1 año
  • Certificate pinning en apps móviles (futuro)
  • Perfect Forward Secrecy en todos los cifrados

2.2 En reposo

  • AES-256-GCM para base de datos y S3
  • Secretos en AWS KMS con rotación automática cada 90 días
  • Contraseñas hasheadas con bcrypt (cost 12)
  • Tokens JWT firmados con HS256, rotación cada 1 hora

2.3 Claves y certificados

Las llaves maestras nunca se exportan del KMS. Rotación automática mensual para credenciales de integración (Retell, Twilio, Meta). No almacenamos datos de tarjeta — delegamos a Conekta/Stripe con tokenización PCI-DSS.

Sección 03Control de acceso

  • Principio de menor privilegio: cada servicio y cada persona tiene el mínimo permiso necesario
  • Autenticación multifactor (MFA) obligatoria para todo el personal de qallix con acceso a producción
  • Hardware keys (FIDO2/WebAuthn) para ingeniería
  • Revisión trimestral de accesos del personal; removemos privilegios al cambiar de rol
  • VPN + zero-trust network para acceder a ambientes productivos
  • Row-Level Security (RLS) en Supabase: cada usuario solo ve sus propios datos
  • API keys con scopes granulares y rotación desde el dashboard

Sección 04Residencia y soberanía de datos

Tus datos viven en Norteamérica (US) con réplicas en México para cumplir LFPDPPP y asegurar latencia baja:

  • Base de datos principal: US-East-1
  • Réplica de lectura: US-West-2
  • Grabaciones y audio: S3 US multiregional
  • Respaldos fríos: región independiente con retención 12 meses

Para clientes regulados (gobierno, salud, banca) ofrecemos data residency dedicada en México (contrato empresarial).

Sección 05Respaldos y continuidad

5.1 Estrategia de respaldo

  • Snapshot automático cada 6 horas de la base de datos
  • Replicación continua (WAL) a región secundaria
  • Backup diario exportable (Point-in-Time Recovery hasta 7 días)
  • Respaldo frío semanal con retención de 12 meses
  • Todos los respaldos cifrados AES-256 antes de salir del host

5.2 Objetivos de recuperación

  • < 4h
    RTO (restauración)
  • < 1h
    RPO (pérdida máx.)
  • Anual
    DR drill

Ejecutamos un simulacro de disaster recovery anual documentado, y publicamos el resumen interno al cliente si lo solicita.

Sección 06Monitoreo y detección

  • Uptime monitoring 24/7 con alertas a < 60 segundos
  • Métricas de rendimiento, errores y seguridad en status.qallix.io
  • Logs centralizados con retención 12 meses
  • Detección de anomalías: rate limits, intentos de login fallidos, geolocalización inusual
  • Pentesting interno trimestral; pentesting externo anual
  • Bug bounty program (próximamente público)

Sección 07Respuesta a incidentes

7.1 Equipo de respuesta

Contamos con un equipo de guardia 24/7 (SRE + Security) con escalamiento definido. Playbook de respuesta a incidentes documentado y actualizado cada 6 meses.

7.2 Obligación de notificación

En caso de incidente de seguridad que afecte tus datos, te notificaremos en máximo 72 horas conforme al artículo 20 de la LFPDPPP. La notificación incluirá:

  • Descripción del incidente
  • Datos afectados (alcance)
  • Medidas tomadas para contener y remediar
  • Recomendaciones para titulares afectados
  • Contacto del oficial de privacidad

7.3 Clasificación de severidad

NivelDescripciónRespuesta
P0 · CríticoBrecha confirmada o servicio caído global< 15 min
P1 · AltoFuncionalidad clave afectada o vulnerabilidad confirmada< 1 hora
P2 · MedioDegradación localizada< 4 horas
P3 · BajoIncidencia menor sin impacto en clientes1 día hábil

Sección 08Privacidad por diseño

  • Anonimización automática de datos en ambientes no-producción
  • Data minimization: solo recabamos lo estrictamente necesario
  • Consent management: logs de consentimiento por llamada según LFPDPPP
  • Right to erasure: eliminación completa en 30 días desde solicitud
  • Data portability: export completo CSV/JSON desde el dashboard
  • NDA corporativo disponible para clientes empresariales

Sección 09Cumplimiento regulatorio

9.1 México

  • LFPDPPP (Ley Federal de Protección de Datos Personales)
  • LFPC (Ley Federal de Protección al Consumidor)
  • Reglas de CONDUSEF para cobranza (aplicable a nuestros clientes financieros)
  • IFT (obligaciones de telecomunicaciones, a través de partners)
  • SAT (facturación electrónica CFDI 4.0)

9.2 Internacional

  • GDPR-ready (Unión Europea)
  • CCPA-aligned (California)
  • HIPAA-ready (sector salud — contrato BAA disponible bajo acuerdo)
  • PCI-DSS (a través de Conekta/Stripe para pagos)

Sección 10Personal y capacitación

  • Verificación de antecedentes de todo el personal con acceso a producción
  • Capacitación anual obligatoria en privacidad y seguridad
  • Firma de NDA y acuerdo de uso aceptable al ingreso
  • Revocación inmediata de accesos al término de relación laboral

Sección 11Procesamiento de subcontratistas

Evaluamos y auditamos a todos nuestros subprocesadores antes de su incorporación. Firmamos acuerdos de procesamiento de datos (DPA) conformes a LFPDPPP y, cuando aplica, GDPR:

SubprocesadorFunciónSOC 2DPA
Retell AIMotor de voz IAType IIFirmado
SupabaseBase de datos + AuthType IIFirmado
TwilioTelefoníaType IIFirmado
AnthropicProcesamiento NLPType IIFirmado
ResendEmailsType IIFirmado
ConektaPagos (PCI-DSS)PCI-DSS L1Firmado
HostingerInfraestructuraISO 27001Firmado
CloudflareCDN + WAFType II · ISO 27001Firmado

Sección 12Reporta una vulnerabilidad

Si encontraste un problema de seguridad, repórtalo responsablemente a security@qallix.io. Nos comprometemos a:

  • Acuse de recibo en menos de 24 horas
  • Evaluación inicial en 72 horas
  • No emprender acción legal contra investigadores que actúen de buena fe
  • Reconocer tu aportación (si lo deseas) en un hall of fame público

PGP Key (opcional)

Para reportes sensibles, puedes cifrar tu correo con nuestra clave pública disponible en security@qallix.io.

¿Necesitas el whitepaper de seguridad completo?

Para evaluaciones de compliance empresarial, te enviamos el Security Whitepaper (PDF, 40 páginas) con arquitectura de red, matriz de riesgos, controles y evidencia de auditorías.

Solicitar whitepaper