Seguridad

Ultima actualizacion: abril de 2026

La seguridad de tu informacion y la de tus clientes es nuestra maxima prioridad. Sayova implementa multiples capas de proteccion tecnica, organizacional y operacional para garantizar la confidencialidad, integridad y disponibilidad de los datos en todo momento.

Cifrado end-to-end

TLS 1.3 en transito · AES-256 en reposo

SOC 2 Type II

Auditoria anual independiente de controles de seguridad

MFA obligatorio

Autenticacion multifactor para todos los accesos administrativos

Monitoreo 24/7

Deteccion de amenazas en tiempo real y alertas automatizadas

1. Seguridad de la Infraestructura

Toda la infraestructura de Sayova opera en proveedores de nube de nivel empresarial con certificaciones ISO 27001 y SOC 2. Los centros de datos cuentan con seguridad fisica de acceso restringido, energia redundante y conectividad de alta disponibilidad.

Arquitectura de red segmentada con firewalls de aplicacion web (WAF).
Proteccion activa contra ataques DDoS.
Entornos de produccion, staging y desarrollo completamente aislados.
Actualizaciones de seguridad aplicadas dentro de las 24 horas de su liberacion para vulnerabilidades criticas.

2. Cifrado de Datos

Todos los datos se protegen con cifrado de grado militar en cada etapa del ciclo de vida:

En transito: TLS 1.3 con Perfect Forward Secrecy (PFS) para todas las conexiones cliente-servidor y entre servicios internos.
En reposo: AES-256 para todos los datos almacenados en bases de datos, sistemas de archivos y copias de seguridad.
Gestion de claves: las claves criptograficas se administran mediante un servicio dedicado de gestion de claves (KMS) con rotacion automatica periodica.
Copias de seguridad: backups cifrados diarios con verificacion de integridad y retencion de 90 dias.

3. Control de Accesos

El acceso a los sistemas de Sayova sigue el principio de minimo privilegio:

Control de acceso basado en roles (RBAC) con permisos granulares por equipo y funcion.
Autenticacion multifactor (MFA) obligatoria para todos los empleados y administradores.
Sesiones con expiracion automatica y revision trimestral de permisos.
Registro de auditoria inmutable de todos los accesos a datos sensibles.
Acceso a produccion restringido a personal autorizado mediante VPN corporativa.

4. Seguridad del Desarrollo

La seguridad es parte integral de nuestro ciclo de desarrollo:

Revision de codigo obligatoria antes de cualquier despliegue a produccion.
Analisis estatico de codigo (SAST) y analisis de composicion de software (SCA) integrados en el pipeline de CI/CD.
Pruebas de penetracion externas realizadas al menos una vez al ano por empresas especializadas independientes.
Programa de gestion de vulnerabilidades con SLAs internos de remediacion segun criticidad.

5. Cumplimiento Normativo

Sayova mantiene un programa de cumplimiento alineado con estandares internacionales:

SOC 2 Type II: auditoria anual que certifica nuestros controles de seguridad, disponibilidad, integridad del procesamiento y confidencialidad.
Ley N° 19.628 (Chile): cumplimiento con la legislacion chilena de proteccion de datos personales y las modificaciones aplicables.
GDPR (referencial): aplicamos los principios de privacidad por diseno y por defecto en toda la plataforma.
WhatsApp Business API: cumplimiento con las politicas de uso y privacidad de Meta Platforms.

El informe SOC 2 Type II puede ser solicitado por clientes bajo acuerdo de confidencialidad escribiendo a seguridad@sayova.com.

6. Respuesta ante Incidentes

Sayova cuenta con un plan formal de respuesta ante incidentes de seguridad:

Deteccion: monitoreo continuo con alertas automatizadas y revision humana 24/7 para eventos criticos.
Contencion: aislamiento inmediato de sistemas comprometidos para limitar el alcance del incidente.
Notificacion: los clientes afectados son notificados dentro de las 72 horas de confirmado un incidente que involucre sus datos, conforme a la normativa aplicable.
Recuperacion y post-mortem: restauracion desde backups verificados y analisis de causa raiz documentado.

7. Seguridad en Integraciones

Las conexiones con canales externos (WhatsApp Business API, proveedores de correo, redes sociales) se gestionan de forma segura:

Credenciales de integracion almacenadas cifradas y nunca expuestas en logs.
Tokens OAuth con permisos minimos y rotacion automatica cuando es soportado por el proveedor.
Validacion y saneamiento de todos los datos entrantes de integraciones externas.

8. Divulgacion Responsable de Vulnerabilidades

Si descubres una vulnerabilidad de seguridad en Sayova, te invitamos a reportarla de forma responsable. Nos comprometemos a:

Acusar recibo de tu reporte dentro de las 48 horas habiles.
Investigar y responder con un plan de accion dentro de los 10 dias habiles.
Mantener informado al investigador sobre el progreso de la remediacion.
Reconocer publicamente el reporte (si el investigador lo desea) una vez resuelto el problema.
No emprender acciones legales contra investigadores que actuen de buena fe.

Para reportar vulnerabilidades, escribe a seguridad@sayova.com con el asunto "Divulgacion Responsable". Incluye una descripcion detallada del problema, los pasos para reproducirlo y el impacto potencial. Por favor, no divulgues la vulnerabilidad publicamente hasta que hayamos tenido la oportunidad de abordarla.

9. Contacto de Seguridad

Para consultas o reportes relacionados con la seguridad de la plataforma:

Equipo de Seguridad — Sayova / VIKRAM SpA
Email: seguridad@sayova.com
Reportes urgentes: seguridad@sayova.com