arrow_backInicio
gavelLegal

Política de Seguridad

Última actualización: 1 de marzo de 2026

Esta Política de Seguridad describe los controles técnicos y organizativos que CentaurX Inc. mantiene para proteger tus datos.

1. Arquitectura de Seguridad

CentaurX está construido sobre un modelo de seguridad en profundidad con múltiples capas de protección independientes.

Human-in-the-Loop (HiTL): Ninguna acción del agente que modifique datos del CRM, envíe comunicaciones o cree registros se ejecuta sin aprobación humana explícita.

Aislamiento por Tenant: Todos los datos, contextos de agente y tokens de HubSpot están aislados a nivel de tenant. Ningún dato cruza los límites entre tenants bajo ninguna circunstancia.

2. Autenticación y Control de Acceso

OAuth 2.0 con PKCE: La autenticación con HubSpot usa la extensión PKCE, eliminando el vector de ataque de interceptación del código de autorización.

Control de Acceso Basado en Roles (RBAC): Roles predefinidos (Admin, Manager, Rep, Viewer) con permisos granulares por módulo.

Seguridad de Sesión: Los tokens de sesión se rotan tras la autenticación y siguen prácticas de expiración estándar.

Autenticación de Dos Factores (TOTP): Disponible mediante cualquier aplicación autenticadora compatible con TOTP.

3. Protección de Datos

Cifrado en Reposo: Todos los tokens OAuth se cifran con AES-256-GCM antes de persistirse en la base de datos.

Cifrado en Tránsito: Todas las conexiones usan TLS 1.3 como mínimo.

4. Validación de Entradas y Prevención de Inyección

Sanitización de Prompts: Todos los inputs procesados por modelos de IA pasan por una capa de sanitización para prevenir ataques de prompt injection.

Protección CSRF: Todas las rutas de mutación están protegidas con tokens CSRF de doble envío.

Rate Limiting: Dos capas de rate limiting: por IP para endpoints públicos y por tenant para rutas API autenticadas.

5. Registro de Auditoría

Cada acción del agente queda registrada con un log de auditoría completo e inmutable: timestamp, usuario que solicitó, tipo de acción, estado de aprobación y resultado.

6. Divulgación Responsable de Vulnerabilidades

Si descubres una vulnerabilidad de seguridad, repórtala a security@centaurx.io.

Nos comprometemos a:

  • Confirmar la recepción en 48 horas
  • Proporcionar una evaluación inicial en 7 días hábiles
  • No emprender acciones legales contra investigadores que sigan prácticas de divulgación responsable

7. Respuesta a Incidentes

En caso de un incidente de seguridad confirmado que afecte a datos de clientes, notificaremos a los afectados en un plazo de 72 horas desde la confirmación.

8. Contacto

Preguntas de seguridad: security@centaurx.io