Legal · Seguridad

Política de Seguridad de la Información

En ChatFlowy aplicamos medidas técnicas y organizacionales razonables para proteger la información, reducir riesgos y mantener la continuidad operativa de la Plataforma.

Última actualización06 de febrero de 2026
ProductoChatFlowy
Operado porFlowy Tech
Nota: Esta Política describe lineamientos generales. Algunas capacidades dependen del plan, la configuración del Cliente y los proveedores integrados (por ejemplo, WhatsApp/Meta).

1. Introducción

ChatFlowy es una plataforma SaaS para la gestión de conversaciones, asignación de operadores, automatización y analítica operativa. La seguridad es un componente esencial del diseño y operación del servicio.

Nuestro objetivo es reducir riesgos de acceso no autorizado, pérdida de información, indisponibilidad y uso indebido, mediante prácticas alineadas a estándares ampliamente aceptados.

2. Alcance

Esta Política aplica a:

  • La Plataforma ChatFlowy (web, APIs y módulos asociados).
  • Procesos internos relacionados con operación, soporte y mantenimiento.
  • Infraestructura utilizada para alojar y operar el servicio.
  • Colaboradores y proveedores con acceso a información o sistemas relevantes.

Alcance de datos

ChatFlowy puede procesar datos de usuarios internos (admins/operadores) y, si el Cliente lo configura, información relacionada con clientes finales (contactos, mensajes y metadatos). El Cliente es responsable de la licitud y finalidad del tratamiento de su “Contenido”.

3. Gobierno y cultura de seguridad

Concientización

Promovemos prácticas de seguridad y privacidad entre colaboradores y, cuando aplique, compartimos lineamientos relevantes con partes interesadas clave.

Principio de mínimo privilegio

Buscamos que el acceso a sistemas y datos sea el mínimo necesario para cada rol, con separación de funciones cuando aplique.

Gestión de cambios

Los cambios relevantes a la Plataforma se gestionan para reducir riesgos (por ejemplo, revisiones, pruebas y controles antes de despliegues).

Mejora continua

Revisamos prácticas y controles para fortalecerlos con base en hallazgos, incidencias, auditorías internas y evolución del producto.

4. Control de acceso y autenticación

  • Roles y permisos: la Plataforma soporta roles (p. ej. admin/operador) y controles por módulo.
  • Autenticación: recomendamos contraseñas robustas y, cuando sea posible, autenticación reforzada.
  • Sesiones: aplicamos mecanismos para limitar riesgos de sesión (caducidad/inactividad según configuración).
  • Accesos administrativos: restringimos y monitoreamos accesos con privilegios elevados.

Recomendación para Clientes

Activa MFA/2FA en cuentas de correo, Business Manager y WhatsApp Business Platform, y evita compartir credenciales. Mantén una política de altas/bajas (offboarding) para operadores.

5. Cifrado y protección de datos

Implementamos controles razonables para proteger datos en tránsito y, cuando aplique, en reposo. El nivel y tipo de cifrado puede depender del proveedor de infraestructura y de la integración utilizada.

  • En tránsito: uso de HTTPS/TLS para comunicaciones con la Plataforma.
  • En reposo: almacenamiento en servicios de infraestructura con controles de seguridad del proveedor.
  • Secretos: manejo controlado de llaves/variables sensibles y separación por ambientes.

WhatsApp / Meta

La seguridad y entrega de mensajes también depende de WhatsApp Business Platform y del BSP/proveedor elegido por el Cliente. ChatFlowy no controla decisiones del canal sobre entregabilidad, límites, sanciones o verificaciones.

6. Infraestructura y segregación

Separación por entornos

Operamos ambientes separados (p. ej. desarrollo/pruebas/producción) según sea aplicable al proyecto.

Principio de necesidad

Limitamos el acceso a recursos de infraestructura a personal autorizado y solo cuando es necesario.

Hardening

Aplicamos configuraciones razonables para reducir superficie de ataque y minimizar exposición.

Disponibilidad

Buscamos resiliencia con prácticas de continuidad, respaldos y monitoreo según criticidad del servicio.

7. Monitoreo, auditoría y registros

Para fines de seguridad, estabilidad y cumplimiento, podemos registrar eventos técnicos y operativos (por ejemplo: accesos, cambios de configuración, actividad administrativa, errores de sistema).

  • Los logs se usan para diagnóstico, prevención de abuso y análisis forense cuando aplique.
  • Se limita el acceso a registros y se conservan por periodos definidos según necesidad y normativa.

8. Desarrollo seguro

  • Buenas prácticas: revisión de cambios críticos, control de dependencias y validaciones.
  • Gestión de vulnerabilidades: atención priorizada según severidad y exposición.
  • Configuración segura: separación de credenciales, variables por ambiente y controles de acceso.

Divulgación responsable

Si encuentras una vulnerabilidad, repórtala de forma responsable al correo de seguridad. Evita pruebas intrusivas en producción sin autorización.

9. Gestión de incidentes

Contamos con un proceso para atender incidentes de seguridad, que típicamente incluye:

1

Detección y contención

Identificar el incidente y reducir impacto (bloqueos, revocación, mitigación).

2

Análisis

Determinar causa raíz, alcance, datos involucrados y cronología.

3

Recuperación

Restablecer servicios, reforzar controles y monitorear reincidencia.

4

Notificación

Cuando sea legalmente requerido y aplique, notificaremos a Clientes sobre incidentes relevantes conforme a contrato y normativa.

10. Continuidad y respaldos

  • Respaldo: realizamos respaldos o aprovechamos capacidades del proveedor para continuidad.
  • Recuperación: priorizamos restauración de disponibilidad y mitigación de impacto.
  • Pruebas: cuando es viable, probamos procedimientos de restauración y continuidad.

Los tiempos objetivo de recuperación y respaldo pueden variar por plan, configuración, contrato y alcance del incidente.

11. Proveedores y subprocesadores

ChatFlowy puede usar terceros para infraestructura, mensajería, analítica, soporte o pagos. Procuramos seleccionar proveedores con prácticas de seguridad reconocidas y establecer acuerdos razonables de confidencialidad y protección.

  • Evaluamos riesgos de proveedores según criticidad.
  • Limitamos accesos y compartición de datos al mínimo necesario.
  • Podemos actualizar proveedores para mejorar seguridad, estabilidad o costo.

12. Cumplimiento y certificaciones

ChatFlowy busca alinearse con buenas prácticas y marcos reconocidos de seguridad de la información.

Certificaciones ISO

Actualmente, nuestras certificaciones ISO (por ejemplo, ISO/IEC 27001) se encuentran en proceso. En tanto concluye el proceso, trabajamos con controles y prácticas internas consistentes con un SGSI, sin representar que ChatFlowy ya esté certificado.

13. Responsabilidades del Cliente

La seguridad es compartida. Para mejores resultados, el Cliente debe:

  • Administrar usuarios, roles, permisos y bajas oportunamente.
  • Aplicar contraseñas robustas y MFA/2FA donde sea posible.
  • Restringir accesos a dispositivos seguros y redes confiables.
  • Cumplir políticas del canal (WhatsApp/Meta) y normativa de datos personales.
  • Reportar incidentes o accesos sospechosos tan pronto como se detecten.

14. Contacto

Para reportes de seguridad, vulnerabilidades o preguntas sobre esta Política:

Seguridadsoporte@flowytechcorp.com
Soportesoporte@flowytechcorp.com
DomicilioCDMX, México
Razón socialFlowy Tech S.A. de C.V.

Este documento es informativo y no constituye asesoría legal. Recomendamos validación por un profesional.