Seguridad
Hemos implementado controles de seguridad integrales para proteger tus datos y garantizar la integridad de nuestra plataforma.
Nuestras medidas de seguridad están alineadas con marcos estándar de la industria, incluido el OWASP Top 10, brindando protección de nivel empresarial contra amenazas de seguridad modernas.
Los tokens de acceso utilizan firma asimétrica RS256 e incluyen identidad de usuario, seguimiento de sesión y caducidad automática. Cada token se verifica criptográficamente y las sesiones pueden revocarse instantáneamente cuando sea necesario.
Las sesiones de usuario están protegidas mediante cookies seguras de solo HTTP y tokens de sesión de corta duración. Las sesiones expiran automáticamente después de períodos de inactividad, y los tokens se almacenan de forma segura y se invalidan al cerrar sesión o ante actividad sospechosa. Los datos de sesión nunca se exponen a scripts del lado del cliente, reduciendo el riesgo de secuestro de sesión.
Los materiales de capacitación y archivos cargados se sirven a través de URLs prefirmadas de corta duración que expiran después de 60 segundos, minimizando la ventana de exposición para contenido sensible.
Todos los datos en tránsito están protegidos mediante HTTPS estándar de la industria con HTTP Strict Transport Security (HSTS) habilitado. Aplicamos Content Security Policy (CSP), implementamos protección de frames y deshabilitamos el rastreo de tipos de contenido para proteger contra ataques comunes basados en navegadores.
Todas las claves API se cifran antes del almacenamiento utilizando algoritmos estándar de la industria. Los webhooks salientes pueden firmarse criptográficamente usando firmas HMAC, permitiéndote verificar la autenticidad de los datos enviados desde nuestra plataforma.
Las importaciones basadas en URL y la obtención de recursos remotos se validan estrictamente. Solo permitimos protocolos HTTP/HTTPS estándar y bloqueamos automáticamente solicitudes a redes internas, rangos de IP privadas y otros destinos potencialmente peligrosos.
El acceso a la API de producción está protegido por una lista blanca CORS estricta, asegurando que solo los dominios autorizados puedan interactuar con tus datos. Los ataques de contaminación de parámetros HTTP se bloquean automáticamente mediante el rechazo de parámetros duplicados.
El panel de control no puede ser incrustado en frames de terceros, protegiendo contra ataques de clickjacking e incrustación no autorizada.
Nuestra plataforma aplica un aislamiento estricto entre diferentes chatbots y cuentas. Los recursos de cada chatbot están completamente segregados, evitando el acceso no autorizado entre inquilinos.
Cada chatbot en tu organización está protegido por permisos granulares que aplican controles de acceso de lectura y escritura. Los miembros del equipo solo pueden acceder a los recursos que están explícitamente autorizados para ver o modificar, garantizando una separación adecuada de funciones.
Los datos de conversación respetan las políticas de compartición configuradas a nivel de chatbot. Ya sea que las conversaciones estén restringidas a miembros específicos del equipo o compartidas más ampliamente, estos permisos se aplican del lado del servidor y no pueden evitarse.
Las contraseñas de los usuarios se cifran usando algoritmos estándar de la industria y nunca se almacenan en texto plano. Los flujos de restablecimiento de contraseña utilizan tokens firmados criptográficamente con tiempo limitado que no pueden reutilizarse ni falsificarse.
Los intentos de inicio de sesión se monitorean tanto por dirección de correo electrónico como por dirección IP. Los intentos fallidos repetidos desencadenan bloqueos temporales automáticos, protegiendo las cuentas contra ataques de relleno de credenciales.
Los datos de entrenamiento y la base de conocimientos de cada chatbot se almacenan en espacios de nombres de base de datos vectorial aislados, evitando cualquier posibilidad de contaminación cruzada entre diferentes chatbots o cuentas.
Todas las credenciales sensibles se almacenan en AWS Secrets Manager y nunca se confirman en código o archivos de configuración. Las conexiones de base de datos se enrutan a través de proxies RDS seguros con cifrado forzado.
Se aplica una limitación de velocidad integral en todos los endpoints de chat utilizando un algoritmo de ventana móvil. Esto protege contra ataques de denegación de servicio y abuso automatizado, mientras garantiza que los usuarios legítimos experimenten un servicio ininterrumpido.
Todo el contenido generado por usuarios, incluidas configuraciones de playbook, nombres de chatbot, reglas y disparadores, se sanitiza automáticamente antes del almacenamiento utilizando bibliotecas de sanitización HTML estándar de la industria. Esto previene que scripts maliciosos sean inyectados en la plataforma.
Nuestra plataforma emplea detección inteligente de spam con capacidades persistentes de lista negra de IP. El tráfico legítimo se coloca en la lista blanca para minimizar falsos positivos mientras se mantiene una fuerte protección contra actores maliciosos.
Los archivos cargados se someten a validación estricta que incluye sanitización de nombres de archivo, verificación de tipos de archivo y límites de tamaño. Las rutas de archivo maliciosas se rechazan automáticamente para prevenir ataques de travesía de directorios.
Las consultas de búsqueda y las entradas de usuario en todo el panel están sujetas a restricciones de longitud y limitación de velocidad, reduciendo la superficie de ataque para intentos de inyección y abuso.
Las incrustaciones de widgets pueden restringirse a dominios específicos con validación de dominio padre. Las horas activas basadas en tiempo reducen aún más la exposición al limitar cuándo se puede acceder a tu chatbot.
Todos los eventos relevantes para la seguridad se registran, incluidas fallas de autorización, violaciones de límite de velocidad, infracciones de cuota y cargas de archivos rechazadas. Esto proporciona pistas de auditoría completas para análisis de seguridad complejos y requisitos de cumplimiento detallados.
Tanto nuestra infraestructura de backend como la aplicación del panel se monitorean mediante seguimiento de errores de nivel empresarial. Esto incluye capacidades detalladas de reproducción de sesiones que se activan automáticamente cuando ocurren errores, permitiendo un diagnóstico y resolución rápidos.
Todos los archivos cargados y el contenido importado remotamente se escanean usando protección antivirus del lado del servidor antes de ser almacenados o procesados. Esto incluye materiales de capacitación, imágenes de avatar y cualquier contenido importado desde URLs externas.
Las listas blancas estrictas regulan qué tipos de archivos pueden cargarse para diferentes propósitos. Los tamaños de archivo están limitados para prevenir ataques de agotamiento de recursos, y el contenido se valida antes del procesamiento.
Los widgets de chat e incrustaciones pueden restringirse por dirección IP o ubicación geográfica. Estas restricciones se aplican en tiempo real según tu configuración.
El tráfico de bots automatizado se detecta y filtra de las analíticas y telemetría, asegurando que tus métricas de participación reflejen interacciones genuinas de usuarios.
Los webhooks salientes incluyen firmas HMAC que puedes verificar para asegurar que las solicitudes realmente se originen en nuestra plataforma. Los secretos de webhook se generan de forma segura y pueden rotarse en cualquier momento.
Los eventos de webhook de Stripe se verifican utilizando métodos oficiales de validación de firma, asegurando que los eventos de facturación sean auténticos y no manipulados.
Las integraciones con WhatsApp, Instagram y otras plataformas de mensajería utilizan tokens de verificación, deduplicación de eventos y verificaciones de autenticidad para prevenir mensajes falsificados y ataques de reproducción.