Prácticas de Seguridad de Guapu

1. Resumen en lenguaje sencillo

Guapu es un CRM (sistema de gestión de relaciones con clientes, por sus siglas en inglés) multi-tenant —es decir, una sola plataforma que da servicio a muchas organizaciones a la vez— con bandeja de WhatsApp y agentes de inteligencia artificial para pequeñas y medianas empresas de América Latina. Como en Guapu pasan conversaciones reales con clientes finales, la seguridad de esos datos es parte central del producto.

Esta página explica, sin rodeos, las medidas técnicas, humanas y administrativas que aplicamos para proteger la información: cifrado, aislamiento entre clientes, control de acceso por rol, gestión de secretos, monitoreo, respaldos cifrados, continuidad del negocio, gestión de vulnerabilidades y respuesta a incidentes. Está escrita para generar confianza con datos concretos sobre nuestra tecnología real, no con promesas vacías.

Importante y honesto: ninguna medida de seguridad es infalible. El servicio se presta 'según disponibilidad' (as-is / as-available) y una parte depende de plataformas de terceros —como WhatsApp/Meta, Supabase, Vercel o los proveedores de inteligencia artificial— que están fuera de nuestro control directo. Hacemos nuestra mejor parte y te decimos con claridad dónde están los límites.

2. 1. Alcance de este documento

Este documento describe las prácticas de seguridad de la información aplicadas al servicio Guapu (en adelante, 'Guapu', el 'Servicio' o la 'Plataforma'), accesible en el dominio guapu.io y prestado por [RAZÓN SOCIAL], con domicilio en [DOMICILIO] y número de registro [NIT].

Complementa —pero no reemplaza— la Política de Privacidad / Política de Tratamiento de la Información, los Términos de Servicio y el Acuerdo de Tratamiento de Datos (DPA, por sus siglas en inglés: Data Processing Agreement) de Guapu. En caso de conflicto sobre obligaciones legales de tratamiento de datos personales, prevalece el DPA y la Política de Tratamiento.

Salvo que se indique lo contrario, en este documento 'Cliente' o 'Titular de cuenta' significa la organización que contrata Guapu; 'usuario final' significa la persona que escribe a los canales conectados del Cliente (por ejemplo, alguien que envía un WhatsApp al negocio). Frente a los datos de sus usuarios finales, el Cliente actúa como Responsable del tratamiento y Guapu actúa como Encargado del tratamiento (en la terminología del GDPR europeo, controller y processor respectivamente).

3. 2. Modelo de responsabilidad compartida

La seguridad en Guapu es un esfuerzo compartido entre nosotros, el Cliente y nuestros sub-procesadores de infraestructura.

• Lo que protege Guapu: el código de la aplicación, la configuración del aislamiento multi-tenant, el cifrado de credenciales de integración, los controles de acceso por rol de la plataforma, la gestión de secretos, el monitoreo, los respaldos cifrados, la continuidad del negocio y la respuesta a incidentes a nivel de plataforma.
• Lo que protege el Cliente: la confidencialidad de sus credenciales de acceso, la activación de la autenticación multifactor disponible, la asignación correcta de roles a su equipo bajo el principio de mínimo privilegio, la legalidad de los datos que carga o sincroniza, y la obtención de las autorizaciones de los titulares (por ejemplo, el consentimiento de los usuarios finales de WhatsApp).
• Lo que aportan los sub-procesadores: la seguridad física de los centros de datos, el cifrado a nivel de almacenamiento, la disponibilidad de la infraestructura subyacente y sus propias certificaciones reconocidas (por ejemplo, SOC 2 e ISO/IEC 27001), todo ello bajo acuerdos de tratamiento de datos con obligaciones de seguridad equivalentes.

4. 3. Cifrado de datos

Ciframos la información tanto cuando viaja por la red como cuando está guardada en disco.

• En tránsito: todo el tráfico hacia y desde guapu.io se cifra con TLS (Transport Layer Security, el protocolo que protege las conexiones HTTPS), con preferencia por TLS 1.3 y soporte mínimo de TLS 1.2. Esto cubre el acceso a la aplicación, las llamadas a nuestras API y los webhooks (notificaciones automáticas entrantes de WhatsApp, Meta, Stripe y demás canales).
• En reposo: los datos almacenados en nuestra base de datos Postgres y en el almacenamiento de archivos (imágenes, stickers, notas de voz y documentos adjuntos) se cifran en reposo con AES-256 (Advanced Encryption Standard de 256 bits), gestionado a nivel de almacenamiento por nuestro proveedor de base de datos.
• Cifrado adicional a nivel de aplicación para secretos sensibles: las credenciales de integraciones de terceros (por ejemplo, tokens de acceso de Meta/WhatsApp, claves de pasarelas de pago, tokens de actualización de Google Ads) se cifran de forma adicional con AES-256-GCM (modo Galois/Counter, que añade verificación de integridad anti-manipulación) antes de guardarse en la base de datos. Cada valor cifrado usa un vector de inicialización aleatorio de 96 bits y una etiqueta de autenticación de 128 bits. Esto es una capa de defensa en profundidad: aunque alguien obtuviera un volcado de la base de datos o un respaldo, esas credenciales seguirían cifradas y serían ilegibles sin la clave maestra.
• Cifrado de respaldos: los respaldos heredan el cifrado en reposo del proveedor de base de datos y, además, los secretos sensibles permanecen cifrados a nivel de aplicación dentro de ellos, de modo que un respaldo extraviado no expone credenciales en claro. Las prácticas de respaldo se detallan en la sección de respaldos, continuidad y recuperación ante desastres.
• Encabezados de seguridad del navegador: la aplicación aplica HSTS (HTTP Strict Transport Security, que fuerza el uso de HTTPS) y una política de seguridad de contenido (Content-Security-Policy) para reducir riesgos del lado del navegador.

5. 4. Aislamiento entre clientes (multi-tenancy)

Guapu da servicio a muchas organizaciones sobre la misma infraestructura. El aislamiento de los datos de cada Cliente es una de nuestras garantías más importantes y está implementado en el motor de la base de datos, no solo en el código de la aplicación.

Cada registro de datos pertenece a una organización identificada internamente por su identificador de organización (organization_id). Aplicamos Row-Level Security (RLS) de PostgreSQL —seguridad a nivel de fila, una funcionalidad del propio motor de base de datos— de modo que las consultas solo pueden leer y escribir las filas de la organización a la que pertenece la sesión autenticada. El aislamiento no depende de que el código 'recuerde' filtrar: lo impone la base de datos.

• Políticas RLS de lectura y escritura: las tablas con datos de Cliente y de usuarios finales (contactos, conversaciones, mensajes, oportunidades de venta, base de conocimiento, mensajes programados, entre otras) tienen políticas RLS tanto de lectura como de escritura ligadas a la organización.
• Verificación por pruebas automatizadas: el aislamiento se valida con pruebas de humo automatizadas que intentan, de forma deliberada, escrituras cruzadas entre organizaciones y confirman que la base de datos las rechaza. Estas pruebas cubren múltiples tablas críticas y forman parte de nuestras verificaciones de seguridad.
• Auditoría de migraciones: cada cambio de esquema de la base de datos pasa por una auditoría automatizada antes de aplicarse, diseñada para detectar regresiones comunes, como eliminar una política sin volver a crearla. Un cambio que debilite el aislamiento no llega a producción.
• Acceso administrativo controlado: existe un cliente con privilegios elevados (service role) que se usa exclusivamente en procesos de servidor controlados (por ejemplo, webhooks autenticados y tareas programadas). Su uso es deliberado y acotado, nunca expuesto al navegador del usuario.

6. 5. Control de acceso por rol (RBAC) y gestión de identidades

El acceso a la información dentro de Guapu se rige por el control de acceso basado en roles (RBAC, por sus siglas en inglés: Role-Based Access Control) y por el principio de mínimo privilegio: cada persona y cada componente reciben únicamente los permisos estrictamente necesarios para su función, ni más ni menos.

• Autenticación: las cuentas se autentican mediante el proveedor de autenticación gestionado de nuestra plataforma de base de datos. Las contraseñas se almacenan únicamente como hash gestionado por ese proveedor; Guapu no guarda contraseñas en texto claro.
• Autenticación multifactor (MFA) opcional: ofrecemos un segundo factor de autenticación que el Cliente puede activar para reforzar el acceso de su equipo. Recomendamos encarecidamente habilitarlo.
• Enlaces mágicos y restablecimiento seguro: el acceso sin contraseña (magic links) y el restablecimiento de contraseña se envían por correo transaccional desde nuestro proveedor de correo, con enlaces de un solo uso y vigencia limitada.
• Roles dentro de la organización: el acceso de cada miembro del equipo del Cliente se rige por su rol. La pertenencia a una organización y el rol asignado determinan qué puede ver y hacer cada persona; el aislamiento entre organizaciones, además, lo impone la base de datos mediante RLS.
• Mínimo privilegio en el lado de la plataforma: el acceso del personal de Guapu y de los procesos automatizados a datos de producción se concede solo según la necesidad de la función, se restringe al cliente con privilegios elevados (service role) únicamente para procesos de servidor controlados, y se revisa y revoca cuando deja de ser necesario.
• Acciones sensibles bajo activación explícita: las acciones de los agentes de IA que mueven dinero o son irreversibles (por ejemplo, emitir reembolsos o cancelar pedidos a través de las pasarelas o tiendas conectadas del Cliente) están deshabilitadas por defecto y solo se ejecutan si el Cliente las activa expresamente. Hay un control de triple capa que valida esa autorización en la exposición de la herramienta, en su ejecución y en el manejador final, y todo intento queda registrado.

7. 6. Gestión de secretos y credenciales de integración

Las integraciones que el Cliente conecta (tiendas, pasarelas de pago, calendarios, herramientas de productividad) funcionan mediante tokens de acceso o credenciales OAuth (un estándar de autorización delegada) que pertenecen al propio Cliente.

• Esos tokens y credenciales se cifran con AES-256-GCM a nivel de aplicación antes de almacenarse, como se describe en la sección de cifrado.
• Las claves y secretos de la propia plataforma (claves de API de proveedores de IA, de pagos, de correo, de los canales de mensajería) se gestionan como variables de entorno en nuestro proveedor de hosting, separadas del código, y nunca se incluyen en el código fuente ni se exponen al navegador.
• Aplicamos el principio de mínimo privilegio en la gestión de secretos: cada componente accede únicamente a los secretos que necesita para su función, y los secretos del lado del servidor nunca se entregan al cliente del navegador.
• Rotación y revocación: cuando una credencial se considera comprometida o deja de ser necesaria, la rotamos o revocamos; las credenciales de integración del Cliente pueden además revocarse desconectando la integración correspondiente.
• Cumplimiento con plataformas de mensajería: Guapu expone los endpoints de cumplimiento exigidos por Meta, incluido el callback de eliminación de datos, que verifica criptográficamente cada solicitud entrante validando su firma HMAC-SHA256 con comparación en tiempo constante para evitar ataques de temporización, y el endpoint de desautorización (deauth).

8. 7. Monitoreo, registros de auditoría y alertas

• Monitoreo continuo de salud: una batería de comprobaciones automatizadas se ejecuta de forma programada para verificar el estado del esquema de la base de datos, la frescura y autenticación de los webhooks de mensajería, el estado de las colas de envío y la conectividad de los canales.
• Registros de auditoría: registramos eventos relevantes de seguridad y de actividad del Servicio, así como el uso de las acciones de los agentes de IA, lo que permite trazar qué se hizo y cuándo.
• Alertas de actividad sospechosa o anómala: el sistema genera alertas ante condiciones anómalas, como desconexión de un canal, retraso o estancamiento de la cola de envíos, o webhooks que dejan de recibir tráfico durante un período inusual. Las alertas se notifican por correo y por los canales internos configurados.
• Registros de uso operativos: conservamos métricas operativas (mensajes procesados, conversaciones, costos por turno de los modelos de IA) para diagnóstico, control de calidad y facturación, sujetas a las políticas de retención descritas más adelante.

9. 8. Gestión de vulnerabilidades

Mantener el Servicio seguro a lo largo del tiempo exige gestionar de forma activa las vulnerabilidades del código propio y de las dependencias de terceros. Adoptamos un enfoque de seguridad por diseño y de defensa en profundidad a lo largo del ciclo de vida del software.

• Gestión de dependencias: nos apoyamos en proveedores de infraestructura gestionada (base de datos, autenticación, hosting) que aplican parches de seguridad en la capa de plataforma, y mantenemos al día las dependencias de la aplicación para incorporar correcciones de seguridad publicadas.
• Controles en el ciclo de desarrollo: los cambios pasan por verificación de tipos, auditoría automatizada de migraciones de base de datos y pruebas de humo de aislamiento multi-tenant antes de desplegarse, lo que ayuda a evitar que regresiones de seguridad lleguen a producción.
• Priorización por riesgo: evaluamos las vulnerabilidades reportadas o detectadas según su severidad e impacto potencial, y priorizamos su remediación en consecuencia; las de mayor severidad se atienden con la mayor prioridad.
• Despliegue seguro y reversible: el proceso de despliegue incluye verificación posterior y reversión automática ante fallos, de modo que una corrección pueda aplicarse rápidamente y revertirse si introduce problemas.
• Canal de reporte: las vulnerabilidades pueden reportarse a security@guapu.io a través de nuestro programa de divulgación responsable, descrito más adelante, que alimenta este proceso de gestión.

10. 9. Durabilidad y resiliencia de WhatsApp

WhatsApp es un canal crítico para nuestros Clientes, por lo que construimos un sistema de durabilidad específico para que los mensajes no se pierdan en silencio y el canal se recupere por sí solo ante fallos transitorios.

Estas medidas reducen significativamente la probabilidad de pérdida o demora de mensajes, pero no la eliminan por completo: el canal depende en última instancia de la disponibilidad de WhatsApp/Meta y de la infraestructura de mensajería subyacente, que están fuera de nuestro control.

• Cola de envío persistente con reintentos: los mensajes salientes se gestionan mediante una cola persistente. Si un envío falla por una causa transitoria, se reintenta con retroceso exponencial (backoff: cada reintento espera progresivamente más tiempo).
• Carta muerta (dead-letter) y escalamiento: tras agotar los reintentos (a partir del sexto intento) o ante un error permanente, el mensaje pasa a un estado de 'carta muerta' que dispara una alerta crítica y queda disponible para revisión y reprocesamiento manual, en lugar de desaparecer.
• Auto-recuperación del canal (auto-heal): el monitoreo intenta restablecer automáticamente la conexión del canal cuando detecta un estado de desconexión, y verifica de forma periódica la frescura de los webhooks; si dejan de recibir tráfico durante demasiado tiempo, avisa de forma proactiva.
• Control de ritmo (throttling): el envío se regula por número de teléfono para respetar los límites de la plataforma y reducir el riesgo de bloqueos por exceso de envíos, distribuyendo la carga en el tiempo.

11. 10. Respaldos, continuidad del negocio y recuperación ante desastres

Mantenemos prácticas de respaldo cifrado y un plan de continuidad del negocio y recuperación ante desastres (BCP/DR, por sus siglas en inglés: Business Continuity Plan / Disaster Recovery) orientado a restablecer el Servicio y a no perder datos en silencio ante un incidente.

• Respaldos gestionados: la base de datos se respalda mediante las capacidades de respaldo automatizado gestionadas por nuestro proveedor de base de datos, lo que permite la restauración del servicio ante un incidente de pérdida de datos.
• Respaldos cifrados: los respaldos heredan el cifrado en reposo del proveedor de base de datos (AES-256) y, además, los secretos sensibles permanecen cifrados a nivel de aplicación dentro de ellos; un respaldo extraviado no expone credenciales en claro.
• Respaldos defensivos de infraestructura crítica: la infraestructura del gateway de WhatsApp cuenta con respaldos defensivos adicionales para acelerar su recuperación.
• Plan de continuidad y recuperación: nos apoyamos en infraestructura gestionada con redundancia y respaldos para reducir el impacto de fallos; el proceso de despliegue incorpora reversión automática ante fallos, y los procedimientos de recuperación buscan restablecer el Servicio en un plazo razonable tras una interrupción. Probamos y revisamos estos procedimientos de forma periódica.
• Purga programada de datos: aplicamos políticas de retención y purga programada. Cuando se elimina una cuenta no realizamos un borrado físico inmediato, sino un borrado lógico (soft-delete) seguido de una purga definitiva mediante un proceso automatizado programado (aproximadamente 30 días después), lo que permite recuperación ante eliminaciones accidentales dentro de una ventana razonable y a la vez garantiza la eliminación efectiva.
• Eliminación a solicitud: atendemos las solicitudes de eliminación de datos, incluidas las que llegan por los canales de cumplimiento de las plataformas de mensajería (como el callback de eliminación de datos de Meta), marcando los datos asociados para su borrado y completándolo mediante un proceso por lotes.

12. 11. Notificación de incidentes y brechas de seguridad

Contamos con un procedimiento de gestión de incidentes de seguridad orientado a detectar, contener, evaluar y notificar oportunamente cualquier brecha de datos personales, entendida como la violación de la seguridad que ocasiona la destrucción, pérdida o alteración accidental o ilícita de datos personales, o la comunicación o el acceso no autorizados a dichos datos.

Las obligaciones concretas de notificación dependen del papel que Guapu desempeñe en cada flujo de datos. Frente a los datos de los usuarios finales, el Cliente es el Responsable y Guapu actúa como Encargado; en ese supuesto, el deber de notificar a las autoridades y a los titulares recae principalmente en el Cliente, y el deber de Guapu es avisarle a tiempo para que pueda cumplirlo.

• Detección: a través del monitoreo continuo, las alertas automatizadas, los registros de auditoría y los reportes recibidos por nuestro programa de divulgación responsable.
• Contención: aislamos el componente afectado, revocamos o rotamos credenciales comprometidas y aplicamos las medidas correctivas necesarias para detener el incidente.
• Evaluación de riesgo: analizamos el alcance, la naturaleza de los datos involucrados, el número de titulares afectados y el riesgo para sus derechos y libertades, y documentamos el incidente y las medidas adoptadas.
• Aviso al Cliente cuando Guapu es Encargado: cuando un incidente afecta datos que tratamos por cuenta del Cliente, le notificamos en su calidad de Responsable sin dilación indebida tras tener conocimiento de la brecha, con la información disponible, para que pueda cumplir sus propias obligaciones frente a los titulares y a las autoridades. Cuando una norma o el contrato fijen un plazo máximo, lo respetaremos.
• Notificación a la autoridad de control (GDPR): cuando corresponda y cuando Guapu actúe como Responsable, notificaremos a la autoridad de control competente. Bajo el GDPR (artículo 33), dicha notificación se realiza sin dilación indebida y, de ser posible, a más tardar dentro de las 72 horas siguientes a tener conocimiento de la brecha, salvo que sea improbable que esta entrañe un riesgo para los derechos y libertades de las personas físicas; si la notificación se retrasa más de 72 horas, se acompañará de los motivos de la dilación.
• Comunicación a los afectados (GDPR): conforme al artículo 34 del GDPR, cuando sea probable que la brecha entrañe un alto riesgo para los derechos y libertades de las personas, se comunicará a los titulares afectados sin dilación indebida, en lenguaje claro, describiendo la naturaleza de la brecha, sus posibles consecuencias y las medidas adoptadas o propuestas. Cuando Guapu actúa como Encargado, apoyamos al Cliente para que pueda realizar esta comunicación.
• Reporte en Colombia (Ley 1581): bajo el régimen colombiano de protección de datos (Ley Estatutaria 1581 de 2012 y su Decreto 1377 de 2013), reportaremos a la Superintendencia de Industria y Comercio (SIC) los incidentes que afecten datos personales cuando actuemos como Responsable, conforme a los procedimientos y plazos que la autoridad tenga establecidos; cuando actuemos como Encargado, asistiremos al Cliente para que efectúe dicho reporte.
• Lecciones aprendidas: tras cada incidente realizamos un análisis de causa raíz e implementamos medidas para reducir la probabilidad de recurrencia.

13. 12. Medidas organizativas, humanas y administrativas

Además de las medidas técnicas, aplicamos medidas humanas y administrativas, tal como exige el principio de seguridad del régimen colombiano de protección de datos (medidas técnicas, humanas y administrativas) y el GDPR (medidas técnicas y organizativas apropiadas).

• Confidencialidad del personal: las personas con acceso a datos personales están sujetas a deberes de confidencialidad que subsisten incluso tras finalizar su relación con la organización.
• Mínimo privilegio y gestión de accesos: el acceso a sistemas y datos se otorga según la necesidad de cada función (RBAC), se revisa periódicamente y se revoca cuando deja de ser necesario.
• Gestión de cambios: los cambios de esquema y de configuración de seguridad pasan por controles automatizados (auditoría de migraciones, verificación de tipos, pruebas de humo de aislamiento y un proceso de despliegue con verificación posterior y reversión automática ante fallos) antes de llegar a producción.
• Seguridad por diseño y por defecto: las funcionalidades sensibles, como las acciones de los agentes que mueven dinero, están deshabilitadas por defecto y requieren activación explícita del Cliente.

14. 13. Sub-procesadores y certificaciones

Para prestar el Servicio nos apoyamos en proveedores de infraestructura y tecnología (sub-procesadores o subencargados) que pueden tratar datos por cuenta de Guapu. Cada uno está vinculado por un acuerdo de tratamiento de datos (DPA) con obligaciones de seguridad y confidencialidad equivalentes a las aquí descritas, y, para transferencias internacionales, con los mecanismos de transferencia adecuados cuando corresponde. La lista vigente de subencargados, con sus finalidades y ubicaciones, se mantiene actualizada y disponible para los Clientes en guapu.io.

Seamos honestos sobre las certificaciones: Guapu no afirma poseer, por sí misma, certificaciones propias como SOC 2 o ISO/IEC 27001. Lo que sí hacemos es apoyarnos en proveedores de infraestructura que mantienen esas certificaciones reconocidas en la industria y describir, en este documento, los controles concretos que aplicamos sobre esa base. En particular, varios de nuestros proveedores clave mantienen programas de cumplimiento de seguridad: Supabase mantiene SOC 2 Tipo II (y atestaciones adicionales según su programa de cumplimiento), Vercel mantiene SOC 2 Tipo II, y Stripe mantiene SOC 2 e ISO/IEC 27001 además de la certificación PCI DSS de Nivel 1 para el manejo de datos de tarjetas. Estas certificaciones pertenecen a dichos proveedores; la información de cumplimiento vigente de cada uno se publica en sus respectivos centros de confianza.

Algunos sub-procesadores son de infraestructura base del Servicio; otros son integraciones del marketplace que solo reciben o envían datos si el propio Cliente las activa (opt-in por organización), gobernadas por los tokens del Cliente. Los sub-procesadores principales son:

• Supabase Inc. — Base de datos PostgreSQL gestionada, autenticación, seguridad a nivel de fila (RLS) y almacenamiento de archivos (notas de voz, adjuntos, medios entrantes e imágenes de agente). Almacena los datos de cuenta y de usuarios finales. Mantiene SOC 2 Tipo II. Ubicación: Estados Unidos (us-east-1, Virginia); en nuestros documentos legales declarada como US/EU.
• Vercel Inc. — Hosting de la aplicación, red de distribución de contenido (CDN), ejecución de acciones de servidor, rutas de API y tareas programadas. Procesa el tráfico de la aplicación y los registros de solicitudes. Mantiene SOC 2 Tipo II. Ubicación: Estados Unidos.
• Anthropic PBC — Motor de inteligencia artificial principal de los agentes (modelos Claude para generación de respuestas y descripción de imágenes y stickers de WhatsApp). Recibe el contenido de los mensajes y el contexto necesario para generar respuestas. Ubicación: Estados Unidos.
• Groq Inc. — Enrutador de intención, generación de respaldo (fallback) en niveles básicos y transcripción de notas de voz. Recibe texto de mensajes y audio de notas de voz. Ubicación: Estados Unidos.
• OpenAI L.L.C. — Generación de respaldo (fallback) cuando el proveedor principal falla, y respaldo histórico de visión. Recibe texto de mensajes de usuarios finales únicamente en la ruta de respaldo. Ubicación: Estados Unidos.
• Google LLC — Proveedor de modelos de lenguaje disponible como opción o respaldo configurable. Recibe texto de mensajes solo si un agente se configura con este proveedor. Ubicación: Estados Unidos.
• Meta Platforms Inc. — Canales de mensajería (WhatsApp Business Cloud API, Instagram Direct y Facebook Messenger): recepción y envío de mensajes y descarga de medios entrantes. Procesa mensajes, identificadores de usuario del canal y contenido multimedia. Ubicación: Estados Unidos / Irlanda.
• Stripe Inc. — Procesamiento de pagos: sesiones de cobro que el agente de ventas genera para los clientes finales (con soporte para Stripe Connect a la cuenta del Cliente) y facturación de la suscripción a Guapu. Mantiene SOC 2, ISO/IEC 27001 y certificación PCI DSS de Nivel 1. Guapu no almacena números de tarjeta; los datos de tarjeta los maneja Stripe directamente. Ubicación: Estados Unidos / Irlanda.
• Resend Inc. — Correo transaccional (bienvenida, facturas, alertas técnicas, restablecimiento de contraseña, enlaces mágicos e invitaciones). Procesa la dirección de correo del titular de la cuenta y el contenido transaccional. Ubicación: Estados Unidos.
• Evolution API (auto-hospedado) — Gateway de WhatsApp para conexión por código QR, operado sobre infraestructura propia. Procesa mensajes de WhatsApp entrantes y salientes, número de teléfono, medios y estado de sesión, fuera de la base de datos principal. Ubicación: servidor privado virtual (VPS).
• Hostinger — Proveedor del servidor privado virtual que aloja el gateway de WhatsApp y la gestión de DNS de dominios; sub-procesador de la infraestructura subyacente del gateway. Ubicación: centro de datos del VPS.
• Integraciones del marketplace activadas por el Cliente (opt-in por organización) — Conectores que el Cliente puede activar y que entonces reciben o envían los datos que el Cliente decida sincronizar (pedidos, pagos, contactos, eventos de calendario, etc.). Incluyen, entre otros: tiendas (Shopify, WooCommerce, Mercado Libre, Tiendanube); pasarelas de pago (Mercado Pago, PayPal, Wompi, ePayco, Bold, además de Stripe); cursos e infoproductos (Hotmart); canales (Telegram); SMS y voz (Twilio); productividad (Calendly, Zoom, Google Calendar/Meet/Sheets/Gmail, Outlook/Microsoft); email marketing (Mailchimp); notificaciones internas (Slack, Discord); y sincronización de base de conocimiento (Notion). Cada conector se gobierna por los tokens OAuth o credenciales del propio Cliente, cifrados con AES-256-GCM. Ubicación: variable según el proveedor (la mayoría en Estados Unidos; varios proveedores de pago y tiendas latinoamericanos operan en América Latina).

15. 14. Transferencias internacionales de datos

Dado que parte de nuestra infraestructura y varios sub-procesadores operan fuera de América Latina (principalmente en Estados Unidos, la Unión Europea e Irlanda), el tratamiento de datos puede implicar transferencias internacionales.

Distinguimos, conforme a la normativa colombiana, entre transmisión (cuando un Encargado trata datos por cuenta del Responsable) y transferencia (cuando los datos pasan a otro Responsable). El tratamiento que Guapu y sus sub-procesadores realizan por cuenta del Cliente se enmarca como transmisión, amparada por contratos de transmisión y acuerdos de tratamiento (DPA) que imponen a los Encargados los deberes de la Política de Tratamiento y de la ley aplicable, sin requerir, por sí misma, autorización adicional del titular. Para los flujos sujetos al GDPR utilizamos los mecanismos de transferencia adecuados (por ejemplo, cláusulas contractuales tipo) cuando corresponde. Los detalles de roles, mecanismos y bases de legitimación se desarrollan en el DPA y en la Política de Privacidad.

16. 15. Postura de cumplimiento

Diseñamos las prácticas de seguridad y de tratamiento de Guapu teniendo en cuenta los marcos de protección de datos aplicables a nuestros Clientes y a sus usuarios finales, en particular el régimen colombiano de protección de datos (Ley Estatutaria 1581 de 2012 y su Decreto Reglamentario 1377 de 2013, sobre Habeas Data) y el Reglamento General de Protección de Datos europeo (GDPR, Reglamento UE 2016/679), sin perjuicio de la ley aplicable a [RAZÓN SOCIAL] indicada en los Términos de Servicio.

• Roles claros: en cada flujo distinguimos y declaramos quién actúa como Responsable y quién como Encargado. Frente a los datos de sus usuarios finales, el Cliente es el Responsable y Guapu el Encargado que trata conforme a sus instrucciones.
• Principio de seguridad: aplicamos medidas técnicas, humanas y administrativas para garantizar la seguridad de los datos y evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
• Derechos de los titulares: damos soporte a los Clientes para atender los derechos de los titulares —conocer, actualizar, rectificar y suprimir datos, así como revocar la autorización y solicitar prueba de ella (los derechos ARCO en su versión colombiana), y los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación bajo el GDPR—, mediante funcionalidades de exportación y eliminación y la atención de solicitudes en privacidad@guapu.io.
• Autorización y consentimiento: el Cliente, como Responsable, es quien debe obtener la autorización previa, expresa e informada de sus titulares (incluidos los usuarios finales de WhatsApp y los contactos que cargue), y conserva la carga de probarla. Guapu provee las herramientas, pero no sustituye esa obligación del Cliente.
• Datos sensibles y de menores: Guapu no está diseñado para el tratamiento deliberado de datos sensibles ni de datos de menores de edad. Si por la naturaleza de un canal abierto como WhatsApp llegaran datos sensibles de forma espontánea, su tratamiento queda bajo la responsabilidad y las autorizaciones que gestione el Cliente conforme a la ley.
• Mejora continua: revisamos y actualizamos periódicamente nuestras medidas de seguridad conforme evolucionan las amenazas, la tecnología y la regulación. Esta no es una certificación propia de Guapu; describimos nuestras prácticas de forma honesta y específica, y nos apoyamos en las certificaciones de nuestros proveedores de infraestructura.

17. 16. Programa de divulgación responsable de vulnerabilidades

Valoramos el trabajo de la comunidad de seguridad. Si descubres una vulnerabilidad en Guapu, te pedimos que la reportes de forma responsable para que podamos corregirla antes de que sea explotada. Este programa alimenta nuestro proceso de gestión de vulnerabilidades.

• Contacto: envía tu reporte a security@guapu.io con una descripción del problema, los pasos para reproducirlo y, si es posible, su impacto potencial.
• Compromiso de buena fe: si investigas de buena fe, respetas la privacidad de los datos, no degradas el servicio, no accedes ni modificas datos que no te pertenecen y nos das un plazo razonable para remediar antes de divulgar públicamente, no emprenderemos acciones legales en tu contra por esa investigación.
• Fuera de alcance: la ingeniería social a nuestro personal o clientes, los ataques de denegación de servicio, las pruebas que degraden el servicio para terceros y el acceso a datos reales de usuarios finales no están autorizados.
• Respuesta: confirmaremos la recepción de tu reporte lo antes posible, te mantendremos informado del avance de la remediación dentro de lo razonable y priorizaremos la corrección según la severidad del hallazgo.

18. 17. Limitaciones y descargo honesto

Nos tomamos la seguridad en serio, y por eso somos transparentes sobre sus límites. Ningún sistema, producto ni medida de seguridad puede garantizar protección absoluta frente a todos los riesgos posibles.

El Servicio se presta 'según disponibilidad' y 'tal cual' (as-is / as-available). Su funcionamiento depende, en parte, de plataformas y servicios de terceros —incluidos WhatsApp/Meta, los proveedores de hosting y base de datos, los proveedores de inteligencia artificial, las pasarelas de pago y las integraciones que el propio Cliente active— cuya disponibilidad, seguridad y continuidad están fuera de nuestro control directo. Una interrupción, falla o brecha en cualquiera de esos terceros puede afectar al Servicio pese a nuestras medidas.

Nada en este documento constituye una garantía contractual de seguridad absoluta, de disponibilidad ininterrumpida ni de que ningún dato pueda verse comprometido. Las garantías, exclusiones y limitaciones de responsabilidad aplicables se rigen por los Términos de Servicio y el Acuerdo de Tratamiento de Datos de Guapu. Mantener seguras las cuentas también depende de que el Cliente active la autenticación multifactor, gestione bien los roles de su equipo bajo el principio de mínimo privilegio y proteja sus propias credenciales.

19. 18. Contacto y vigencia

Para reportes de seguridad y divulgación responsable de vulnerabilidades: security@guapu.io. Para asuntos de privacidad, datos personales y ejercicio de derechos de los titulares: privacidad@guapu.io. Para consultas generales: hi@guapu.io. El Responsable y su área de atención de peticiones, consultas y reclamos se identifican en la Política de Privacidad / Política de Tratamiento de la Información de Guapu.

Este documento es prestado por [RAZÓN SOCIAL], con domicilio en [DOMICILIO] y número de registro [NIT]. Podemos actualizar estas Prácticas de Seguridad para reflejar cambios en nuestra tecnología, en nuestros sub-procesadores o en la regulación aplicable; publicaremos la versión vigente en guapu.io.

Última actualización: 22 de junio de 2026.