Última actualización: 17 de mayo de 2026 1. Propósito Esta Política de Seguridad de la Información establece los principios generales bajo los cuales se protege la información tratada por la plataforma, sus tenants, organizaciones, usuarios y servicios relacionados. 2. Principios La operación del servicio se orienta por los principios de: - confidencialidad; - integridad; - disponibilidad; - trazabilidad; - mínimo privilegio; - necesidad de acceso; - responsabilidad compartida. 3. Control de acceso El acceso al sistema se concede según rol, tenant, organización y permisos vigentes. Cada usuario debe: - usar credenciales individuales; - proteger sus contraseñas y factores de autenticación; - evitar compartir sesiones, tokens o enlaces de acceso; - cerrar sesión en entornos compartidos o de riesgo. Los administradores deben revisar periódicamente usuarios, permisos, sesiones activas, cambios de rol y accesos excepcionales. 4. Gestión de identidad y autenticación La plataforma puede soportar autenticación local, directorio corporativo, enlaces mágicos u otros mecanismos aprobados. El operador y los administradores podrán aplicar controles como: - límites de intentos; - control de sesiones simultáneas; - verificación en dos pasos; - recuperación segura de acceso; - trazabilidad de eventos de autenticación. 5. Protección de la información La información almacenada, transmitida o procesada debe protegerse mediante controles razonables acorde con su criticidad, incluyendo, cuando aplique: - cifrado en tránsito; - segregación lógica por contexto; - registros de auditoría; - controles de acceso por rol; - resguardo de documentos y adjuntos; - configuraciones seguras de correo, webhooks e integraciones. 6. Responsabilidad del tenant y de la organización Los tenants y organizaciones que administran su propio entorno deben: - revisar sus configuraciones de seguridad y autenticación; - limitar accesos al personal autorizado; - validar dominios, correo saliente, directorio corporativo e integraciones; - revisar sus políticas, notificaciones y controles operativos; - reportar oportunamente incidentes, usos indebidos o actividades sospechosas. 7. Incidentes de seguridad Cualquier usuario, administrador, tenant u organización que detecte un incidente, anomalía o sospecha de compromiso debe reportarlo por los canales definidos de soporte o seguridad. Dependiendo del caso, el operador podrá: - aislar componentes o cuentas comprometidas; - revocar sesiones o credenciales; - deshabilitar funciones o accesos; - preservar evidencia técnica; - exigir validaciones adicionales antes de reactivar el acceso. 8. Uso aceptable de integraciones Las integraciones de correo, webhooks, autenticación, almacenamiento y directorio corporativo deben configurarse con credenciales válidas, privilegios mínimos y finalidades legítimas. No está permitido usar la plataforma para: - pruebas intrusivas no autorizadas; - extracción masiva indebida; - envío abusivo de mensajes; - automatización maliciosa; - evasión de controles del servicio. 9. Registros y monitoreo La plataforma puede generar registros técnicos, de auditoría, acceso, actividad administrativa y eventos de seguridad para soportar: - operación; - soporte; - investigación de incidentes; - cumplimiento; - análisis de uso; - continuidad del negocio. Estos registros podrán ser consultados por perfiles autorizados dentro del alcance permitido por sus roles y políticas. 10. Continuidad y mantenimiento El servicio puede requerir mantenimiento preventivo, correctivo o evolutivo. Durante estas actividades, el operador podrá aplicar restricciones temporales, tareas programadas o mecanismos de protección para preservar la estabilidad y la seguridad. 11. Revisión y mejora La seguridad del servicio es un proceso continuo. Los controles, procedimientos y configuraciones podrán revisarse y actualizarse para responder a cambios en el riesgo, la operación, la normativa o las capacidades del producto. 12. Responsabilidad compartida La seguridad no depende solo del operador. También requiere que usuarios, tenants y organizaciones mantengan una configuración responsable, gestión adecuada de accesos y respuesta oportuna frente a incidentes o desviaciones.