Seguridad
Nuestro compromiso de seguridad
En Zylior, tu crecimiento depende de tus datos: campañas publicitarias, leads, contenidos, calendarios de citas, accesos a tus herramientas. Somos perfectamente conscientes de ello. La seguridad no es una casilla que se marca una vez y para siempre, es una disciplina que aplicamos a cada línea de código, cada despliegue y cada acceso. Esta página te explica de forma concreta cómo protegemos tu puesto de mando de crecimiento y la información que transita por él.
Damos preferencia a un enfoque «managed-first»: nos apoyamos en proveedores de infraestructura reconocidos y certificados, reducimos la superficie que operamos nosotros mismos y aplicamos sistemáticamente el principio de mínimo privilegio. Menos complejidad inútil significa menos riesgos para ti.
Cifrado de los datos
En tránsito
Todas las comunicaciones entre tu navegador, nuestras aplicaciones y nuestros servicios están cifradas mediante TLS 1.2 o superior. El tráfico no cifrado se rechaza: ningún dato circula en claro por la red. Aplicamos la redirección HTTPS estricta (HSTS) y utilizamos suites criptográficas modernas.
En reposo
Los datos almacenados en nuestras bases de datos y nuestros volúmenes están cifrados en reposo con el algoritmo AES-256. Esto se aplica a las bases de datos, las copias de seguridad y los archivos depositados en la plataforma. Las claves de cifrado son gestionadas por nuestro proveedor de infraestructura mediante un servicio dedicado, con rotación periódica, y nunca se exponen en el código o en los registros.
Secretos y credenciales de terceros
Los tokens de acceso y credenciales que conectas a Zylior (plataformas publicitarias, mensajería, CRM, agendas) están cifrados y almacenados en una bóveda de secretos aislada. Solo se descifran en el momento estrictamente necesario para la ejecución de una automatización, y nunca se muestran en claro en la interfaz.
Alojamiento y localización de los datos
El conjunto de la infraestructura de Zylior está alojado dentro de la Unión Europea, en proveedores de infraestructura cloud reconocidos que disponen de certificaciones de seguridad de primer nivel (en particular ISO 27001 y SOC 2). Tus datos de producción y sus copias de seguridad permanecen en la UE.
Cuando el tratamiento de una funcionalidad implica un encargado del tratamiento situado fuera de la UE, lo regulamos mediante las garantías apropiadas previstas por el RGPD (cláusulas contractuales tipo) y lo documentamos en nuestro registro de encargados del tratamiento.
Aislamiento de los datos por cliente
Zylior pilota una cartera de varios micro-SaaS para fundadores y agencias. La separación entre los datos de cada cliente es una exigencia fundamental de nuestra arquitectura.
- Cada registro está vinculado a un identificador de cuenta (tenant), y todas las consultas se filtran a ese nivel por defecto.
- El control de aislamiento se aplica al nivel más bajo posible de la capa de acceso a los datos, y no se deja a la discreción de cada pantalla.
- Los entornos de producción, de prueba y de desarrollo están estrictamente separados. Ningún dato real de cliente se utiliza para el desarrollo o las pruebas.
- Los tratamientos de IA se ejecutan dentro del perímetro de la cuenta correspondiente: los datos de un cliente nunca sirven para enriquecer, entrenar o alimentar la cuenta de otro.
Control de acceso y mínimo privilegio
El acceso a los sistemas de Zylior está estrictamente regulado y limitado a las personas que realmente lo necesitan para su función.
- Mínimo privilegio: cada miembro del equipo y cada servicio solo dispone de los derechos indispensables para su tarea, nada más.
- Autenticación fuerte: la autenticación multifactor (MFA) es obligatoria en todos los accesos a las herramientas de administración y a la infraestructura.
- Accesos nominativos: los accesos son individuales y trazables. Las cuentas compartidas están prohibidas.
- Revisión periódica: los derechos de acceso se revisan periódicamente y se revocan inmediatamente cuando un colaborador se marcha.
- Del lado de la plataforma: dentro de tu espacio, gestionas los roles y permisos de tu equipo para controlar quién puede ver y hacer qué.
Copias de seguridad y recuperación de la actividad
Tus datos se respaldan de forma automática y periódica para poder ser restaurados en caso de incidente.
- Copias de seguridad cifradas y automatizadas de las bases de datos, conservadas durante un período móvil.
- Almacenamiento de las copias de seguridad en la UE, separado del entorno de producción.
- Pruebas de restauración realizadas periódicamente para garantizar que las copias de seguridad son utilizables, y no solo que existen.
- Plan de recuperación de la actividad documentado, con objetivos de tiempo de recuperación (RTO) y de pérdida máxima de datos (RPO) definidos.
Registro y supervisión
Nuestros sistemas se supervisan de forma continua para detectar cuanto antes los comportamientos anómalos.
- Registro de los accesos, de las acciones sensibles y de los eventos de autenticación.
- Supervisión de la disponibilidad y del rendimiento, con alertas automáticas en caso de anomalía.
- Centralización de los registros y conservación durante un plazo definido, con protección contra la modificación.
- Los registros están diseñados para no contener secretos ni datos personales superfluos.
Gestión de incidentes
A pesar de todas las precauciones, ningún sistema es infalible. Por ello tenemos un proceso claro para reaccionar rápido y bien.
- Detección y calificación: todo evento sospechoso se analiza y se clasifica según su gravedad.
- Contención y resolución: aislamos la causa, corregimos la brecha y restablecemos el servicio.
- Notificación: en caso de violación de datos de carácter personal, notificamos a la autoridad de control competente en un plazo de 72 horas e informamos a los clientes afectados sin demora injustificada, de conformidad con el RGPD.
- Análisis posterior al incidente: cada incidente significativo es objeto de un análisis documentado para evitar que se repita.
Conformidad con el RGPD
Zylior trata datos de carácter personal con el estricto respeto del Reglamento general de protección de datos (RGPD).
- Bases jurídicas y finalidades: solo tratamos los datos para finalidades determinadas y legítimas vinculadas a la prestación del servicio.
- Minimización: solo recopilamos los datos necesarios para el funcionamiento de la plataforma.
- Rol de encargado del tratamiento: para los datos de tus propios prospectos y clientes, tú eres responsable del tratamiento y Zylior actúa como encargado del tratamiento, en el marco de un acuerdo de tratamiento de datos (DPA).
- Derechos de las personas: te ayudamos a responder a las solicitudes de acceso, de rectificación, de supresión y de portabilidad.
- Encargados ulteriores del tratamiento: mantenemos actualizada la lista de nuestros encargados del tratamiento y los regulamos contractualmente.
- Conservación: los datos se conservan el tiempo necesario para la prestación del servicio, tras lo cual se suprimen o se anonimizan.
Para cualquier pregunta relativa a la protección de los datos o para ejercer tus derechos, escríbenos a hello@zylior.com.
Resumen de las medidas de seguridad
| Ámbito | Medida aplicada |
|---|---|
| Cifrado en tránsito | TLS 1.2+, HTTPS estricto (HSTS) |
| Cifrado en reposo | AES-256 (bases de datos, copias de seguridad, archivos) |
| Alojamiento | Unión Europea, proveedores certificados ISO 27001 / SOC 2 |
| Aislamiento | Compartimentación de los datos por cuenta de cliente |
| Control de acceso | Mínimo privilegio, MFA obligatoria, accesos nominativos |
| Copias de seguridad | Automatizadas, cifradas, restauración probada |
| Supervisión | Registro, alertas, conservación protegida |
| Conformidad | RGPD, DPA, registro de encargados del tratamiento |
Divulgación responsable
La seguridad es un trabajo de equipo, y la comunidad de investigadores en seguridad contribuye a ella. Si descubres una vulnerabilidad potencial en Zylior, contamos contigo para que nos la comuniques de manera responsable en lugar de divulgarla públicamente.
- Escríbenos a security@zylior.com con una descripción detallada y los pasos que permiten reproducir el problema.
- Danos un plazo razonable para analizar y corregir la brecha antes de cualquier divulgación pública.
- No accedas a los datos de otros clientes, no degrades el servicio y no realices ninguna acción destructiva durante tus pruebas.
- Nos comprometemos a acusar recibo de tu comunicación, a mantenerte informado de su tratamiento y a reconocer tu contribución si así lo deseas.
Los investigadores que respeten este procedimiento de buena fe no serán objeto de ninguna acción legal por nuestra parte.