Seguridad

Seguridad y cumplimiento

Nuestra Empresa y Productos Desarrollado para agencias por una agencia, el objetivo de Leadway es ayudar a profesionales del marketing y agencias a alcanzar y superar sus metas de éxito. Creemos en potenciar la automatización, mejorar la comunicación y aumentar la escalabilidad de forma accesible para el usuario, ofreciendo constantemente actualizaciones orientadas al futuro que reflejan estas prioridades. Desde su creación en 2018, Leadway ha experimentado un crecimiento exponencial, ampliando su impacto dentro de la comunidad tecnológica y la industria SaaS. En Leadway medimos nuestro éxito a través del éxito de nuestros clientes, por lo que priorizamos la optimización continua de nuestra plataforma para responder a sus necesidades. Nuestra plataforma todo-en-uno impulsada por inteligencia artificial para ventas, marketing y gestión de relaciones con clientes (CRM) integra funcionalidades esenciales para agencias y marketers. Esta solución integral brinda oportunidades ilimitadas para establecer metas ambiciosas y alcanzarlas con el respaldo de un equipo experto. Además, permitimos que nuestros clientes rebranden la plataforma como propia, ofreciendo todo lo necesario para escalar más allá de lo que imaginaron posible para ellos, sus negocios y sus clientes. Enfoque en Seguridad y Gestión de Riesgos La prioridad principal de Leadway en materia de seguridad es proteger los datos de nuestros clientes. Hemos invertido en controles adecuados para resguardar y dar servicio a nuestra comunidad. Esto incluye la implementación de programas dedicados de seguridad corporativa, de producto e infraestructura. Nuestro equipo legal, en colaboración con otros departamentos, supervisa la ejecución de estos programas. Objetivos de Seguridad y Cumplimiento Nuestro marco de seguridad ha sido desarrollado conforme a las mejores prácticas de la industria SaaS. Nuestros objetivos clave incluyen: - Confianza y protección del cliente: ofrecer productos y servicios superiores, protegiendo la privacidad y confidencialidad de los datos. - Disponibilidad y continuidad del servicio: garantizar la disponibilidad y minimizar riesgos que afecten la continuidad operativa. - Integridad de la información y el servicio: asegurar que la información del cliente no sea alterada o corrompida de manera inapropiada. - Cumplimiento de estándares: cumplir o superar las mejores prácticas reconocidas por la industria. Controles de Seguridad de Leadway Para proteger la información que se nos confía, Leadway aplica múltiples capas de controles administrativos, técnicos y físicos en toda la organización. Seguridad de Infraestructura Proveedor de Hosting en la Nube Leadway no aloja sistemas o datos en oficinas físicas. Nuestra infraestructura está hospedada con proveedores líderes como Google Cloud Platform y Amazon Web Services (AWS), en servidores ubicados en Estados Unidos. Confiamos en los programas auditados de seguridad y cumplimiento de estos proveedores para garantizar controles físicos, ambientales e infraestructurales robustos. Google ofrece un porcentaje mensual de disponibilidad mínimo del 99.5%. AWS garantiza entre 99.95% y 100% de confiabilidad del servicio, con redundancia en energía, red y climatización. Sus planes de continuidad y recuperación ante desastres han sido validados bajo SOC 2 Tipo 2 e ISO 27001. Red y Perímetro La infraestructura de Leadway aplica múltiples capas de filtrado e inspección en conexiones a aplicaciones web, firewalls lógicos y grupos de seguridad. Las listas de control de acceso a nivel red previenen accesos no autorizados. Por defecto, los firewalls bloquean cualquier conexión que no esté explícitamente autorizada. Las reglas se revisan periódicamente para asegurar que solo las conexiones necesarias estén activas. Gestión de Configuración La automatización impulsa la escalabilidad de Leadway. Nuestra infraestructura es altamente automatizada y ajusta su capacidad según demanda. Las configuraciones de servidores se integran en imágenes y archivos utilizados en el aprovisionamiento. Si un servidor en producción se desvía de la configuración base, se restablece automáticamente en un máximo de 30 minutos. La gestión de parches se realiza mediante herramientas automatizadas o eliminando instancias que no cumplan los estándares definidos. Registro (Logging) Todas las acciones dentro de la plataforma son registradas y almacenadas en un sistema centralizado en la nube. Los registros relevantes para seguridad se conservan para facilitar investigaciones y respuestas ante incidentes. El acceso de escritura está estrictamente limitado a un grupo reducido de ingenieros autorizados. Alertas y Monitoreo Leadway invierte en monitoreo y respuesta automatizados para identificar anomalías. Errores, abusos o ataques generan alertas automáticas a los equipos correspondientes. También existen respuestas automáticas como limitación de tráfico o terminación de procesos cuando se superan umbrales predefinidos. Seguridad de Aplicaciones Defensas Web El contenido alojado está protegido por firewalls y mecanismos de seguridad de aplicación alineados con las mejores prácticas de OWASP (incluyendo OWASP Top 10). También se implementan protecciones contra ataques DDoS para garantizar disponibilidad continua. Desarrollo y Gestión de Versiones Leadway opera bajo un modelo moderno de entrega continua. - Revisiones de código y pruebas antes de cada despliegue. - Análisis estático automático. - Entornos separados de QA y producción. - Segmentación de red entre entornos. - Despliegues automatizados con capacidad de rollback. Las actualizaciones son fluidas y no generan tiempos de inactividad. Cambios relevantes se comunican dentro de la plataforma. Gestión de Vulnerabilidades Aplicamos un enfoque multicapa utilizando herramientas reconocidas para escaneo continuo. Se realizan pruebas de penetración anuales en aplicaciones e infraestructura. Los hallazgos se evalúan y priorizan según riesgo. Protección de Datos del Cliente Clasificación de Datos Según nuestros Términos de Servicio, los clientes son responsables de recopilar únicamente información adecuada para procesos comerciales. No debe utilizarse la plataforma para almacenar información sensible como números de tarjeta, datos bancarios, números de seguridad social, pasaportes o información médica, salvo que esté expresamente permitido. Separación de Inquilinos (Multi-Tenant) Leadway opera bajo un modelo SaaS multi-tenant donde los datos se separan lógicamente mediante identificadores únicos. Las reglas de autorización se validan continuamente y todas las actividades relevantes se registran. Cifrado - Datos en tránsito: TLS 1.2 o 1.3 con claves de 2048 bits o superiores. - Datos en reposo: cifrado AES-256. - Contraseñas: hash siguiendo mejores prácticas de la industria. Gestión de Claves Las claves de cifrado son administradas de forma segura dentro de la plataforma. Los certificados TLS se renuevan anualmente y las claves se rotan según el nivel de sensibilidad de los datos. Respaldo y Recuperación ante Desastres Confiabilidad del Sistema Los servicios están diseñados con redundancia y distribuidos en múltiples zonas de disponibilidad. Todos los componentes cuentan con recuperación a punto en el tiempo. Estrategia de Respaldo - Respaldos regulares con 7 días de retención para bases de datos. - Monitoreo continuo de ejecución. - Alertas ante fallos. - Protección WORM y controles de acceso. Los clientes pueden exportar información desde el portal o utilizar APIs públicas para sincronizar datos externamente. Control de Identidad y Acceso Gestión de Usuarios Los clientes pueden crear y administrar usuarios con permisos granulares dentro de su portal. Protección de Inicio de Sesión - Política de contraseñas robusta (mínimo 8 caracteres, mayúsculas, minúsculas, números y caracteres especiales). - Autenticación de dos factores obligatoria para cuentas nativas. Acceso de Empleados de Leadway El acceso a infraestructura de producción se rige por control basado en roles (RBAC). Se utiliza un modelo JITA (Just-In-Time Access) para acceso temporal a portales de clientes, con registro completo y límite máximo de 24 horas. Durante este acceso, no se permiten acciones de alto riesgo como: - Cambiar dominios o configuraciones SSO - Exportar usuarios/contactos - Rotar claves privadas - Importar datos masivos - Eliminar contactos o registros críticos Seguridad Organizacional Verificaciones y Onboarding Todos los colaboradores pasan por verificación de antecedentes. Deben aceptar el Manual del Empleado y el Código de Conducta, incluyendo responsabilidades de seguridad. Capacitación en Seguridad Formación obligatoria en ciberseguridad al inicio y anual, incluyendo concientización sobre phishing. Gestión de Proveedores Exigimos a nuestros proveedores controles adecuados de seguridad y privacidad. Protección de Dispositivos Equipos corporativos con cifrado completo de disco y administración centralizada mediante soluciones MDM. Cumplimiento Procesamiento de Datos Sensibles - Leadway no almacena ni procesa información de tarjetas de crédito directamente. - Trabajamos con procesadores de pago certificados PCI para garantizar transacciones seguras. Privacidad - No vendemos datos personales a terceros. - Las medidas implementadas aseguran que la información permanezca privada e íntegra. Retención y Eliminación de Datos - Los datos se conservan mientras el cliente esté activo. - Clientes actuales o anteriores pueden solicitar eliminación conforme a regulaciones aplicables. GDPR - Leadway proporciona herramientas que facilitan el cumplimiento de GDPR. - Sin embargo, el uso de la plataforma por sí solo no garantiza cumplimiento automático. Alcance del Documento Este documento es un recurso informativo para clientes. No crea obligaciones contractuales ni modifica acuerdos existentes. Leadway mejora continuamente sus procesos y protecciones, por lo que las prácticas descritas pueden actualizarse con el tiempo.