Seguridad

Versión 2.0 | Última actualización: 7 de abril de 2026 | NIT 901.939.032-5 | Bogotá D.C., Colombia

1. Compromiso con la Seguridad

En ZATO I.A SAS la seguridad de los datos de nuestros clientes es una prioridad fundamental. Implementamos medidas técnicas y organizativas de nivel empresarial para proteger la confidencialidad, integridad y disponibilidad de la información que nos confían.

Esta página describe las principales medidas de seguridad que aplicamos en nuestra plataforma ZATO Autopilot Bot y en toda la infraestructura que la soporta.

2. Cifrado de Datos

Cifrado en tránsito: todas las comunicaciones entre navegadores, aplicaciones y nuestros servidores se realizan mediante TLS 1.3 / HTTPS, garantizando que los datos no puedan ser interceptados durante la transmisión.
Cifrado SSL de 256 bits: las conexiones entre navegadores y servidores están protegidas con cifrado SSL de 256 bits, el estándar más alto de la industria.
Contraseñas: las contraseñas de los usuarios se almacenan utilizando funciones hash seguras (bcrypt) con salting, lo que las hace irrecuperables incluso en caso de acceso no autorizado a la base de datos.
Tokens de acceso: los tokens de acceso a plataformas de terceros se cifran en reposo con AES-256-GCM antes de almacenarse en la base de datos.

3. Infraestructura

Centros de datos certificados: nuestros servidores están ubicados en centros de datos certificados en la Unión Europea, que cumplen con los más altos estándares de seguridad física y lógica.
Contenedores aislados: cada componente del servicio se ejecuta en contenedores Docker aislados, lo que limita el impacto de cualquier incidente de seguridad a un solo componente.
Proxy inverso con protección: utilizamos un proxy inverso con protección contra ataques de denegación de servicio distribuido (DDoS) y firewall de aplicaciones web (WAF) para filtrar tráfico malicioso.
Acceso restringido a bases de datos: las bases de datos solo son accesibles a través de túneles seguros y firewalls configurados para permitir exclusivamente las conexiones autorizadas.

4. Copias de Seguridad

Copias automáticas: realizamos copias de seguridad automáticas de forma periódica para garantizar la recuperación de datos en caso de incidentes.
Almacenamiento geográficamente separado: los backups se almacenan en una ubicación geográfica distinta a los servidores principales, protegiendo los datos ante desastres localizados.
Restauración verificada: los procesos de restauración se verifican periódicamente para asegurar que los backups sean funcionales y completos.

5. Control de Acceso

Autenticación basada en tokens JWT: el acceso a la plataforma se gestiona mediante tokens JWT con expiración automática, reduciendo el riesgo de acceso no autorizado por tokens comprometidos.
Aislamiento multi-tenant: los datos de cada cliente están estrictamente segregados. Ningún cliente puede acceder a los datos de otro, incluso a nivel de base de datos.
Acceso administrativo limitado: solo el personal esencial tiene acceso a los sistemas de producción, y dicho acceso está restringido al mínimo necesario para cumplir sus funciones.
Revisión periódica de permisos: los permisos y accesos se revisan periódicamente para garantizar que solo las personas autorizadas mantengan acceso a los sistemas.

6. Seguridad de la Plataforma Meta

Integración oficial: ZATO se integra con WhatsApp, Facebook Messenger e Instagram a través de la API oficial de Meta Platforms, Inc., siguiendo todos los requisitos técnicos y de seguridad establecidos por Meta. La disponibilidad de cada canal está sujeta a la aprobación y mantenimiento de los permisos correspondientes por parte de Meta, conforme a lo establecido en los Términos y Condiciones del servicio.
Tokens cifrados en reposo: los tokens de acceso a la plataforma Meta se cifran antes de almacenarse, utilizando algoritmos de cifrado de grado empresarial (AES-256-GCM).
Cumplimiento de políticas: ZATO opera en cumplimiento de las políticas de seguridad y uso de datos de Meta Business Platform, incluyendo los requisitos de App Review y verificación de negocios, en la medida en que dichos procesos se encuentren activos y aprobados para cada integración.

7. Procesamiento de Inteligencia Artificial

Procesamiento transitorio: los datos enviados a modelos de inteligencia artificial de terceros se procesan de forma transitoria y no se almacenan de forma permanente en los sistemas del proveedor de IA.
Sin entrenamiento con datos de clientes en modelos de terceros: las conversaciones procesadas por nuestro chatbot no se utilizan para entrenar modelos de inteligencia artificial de terceros.
Uso de datos anonimizados para modelos propios: ZATO podrá utilizar datos agregados y anonimizados de manera irreversible para el entrenamiento y optimización de modelos de inteligencia artificial propios, la mejora del servicio y la generación de inteligencia de mercado sectorial. Este uso se realiza exclusivamente sobre datos que hacen imposible identificar a personas naturales específicas, conforme a lo declarado en la Política de Privacidad y la Política de Tratamiento de Datos Personales.
Proveedores de nivel empresarial: los proveedores de IA que utilizamos cumplen con estándares de seguridad de nivel empresarial, incluyendo cifrado de datos en tránsito y políticas estrictas de retención.

8. Monitoreo y Respuesta a Incidentes

Monitoreo continuo 24/7: nuestra infraestructura se monitorea de forma continua las 24 horas del día, los 7 días de la semana, para detectar cualquier anomalía o amenaza potencial.
Detección automatizada: contamos con sistemas automatizados de detección de actividades anómalas que generan alertas en tiempo real.
Protocolo de respuesta a incidentes: en caso de un incidente de seguridad, activamos un protocolo de respuesta que incluye contención, investigación, remediación y notificación al cliente afectado en los plazos establecidos por la normativa aplicable.
Registro de actividades (audit log): mantenemos registros detallados de actividades en la plataforma para garantizar la trazabilidad y facilitar la investigación de incidentes.

9. Cumplimiento Normativo

Nuestras prácticas de seguridad están alineadas con los siguientes marcos normativos:

Ley 1581 de 2012 — Protección de Datos Personales de la República de Colombia.
RGPD / GDPR — Reglamento General de Protección de Datos de la Unión Europea.
CCPA / CPRA — Ley de Privacidad del Consumidor de California y Ley de Derechos de Privacidad de California, Estados Unidos.
Políticas de Meta Business Platform — Requisitos de seguridad y protección de datos establecidos por Meta para aplicaciones integradas.

10. Divulgación Responsable de Vulnerabilidades

ZATO I.A SAS promueve la divulgación responsable de vulnerabilidades de seguridad. Si usted es un investigador de seguridad o ha identificado una vulnerabilidad potencial en nuestra plataforma, le invitamos a reportarla de forma responsable antes de hacerla pública, para que podamos investigarla y corregirla oportunamente.

Proceso de reporte:

Envíe su reporte a [email protected] con la palabra SEGURIDAD en el asunto.
Incluya una descripción detallada de la vulnerabilidad, los pasos para reproducirla y el impacto potencial estimado.
ZATO acusará recibo dentro de los 2 días hábiles siguientes al reporte.
Nos comprometemos a investigar el reporte y a mantener al investigador informado sobre el progreso dentro de los 15 días hábiles siguientes.
Solicitamos que no se divulgue públicamente la vulnerabilidad hasta que ZATO haya tenido la oportunidad de corregirla.

ZATO no emprenderá acciones legales contra investigadores que actúen de buena fe conforme a este proceso.

11. Contacto

Para cualquier consulta relacionada con la seguridad de nuestra plataforma:

Correo electrónico: [email protected]
WhatsApp: +57 322 722 7791
Sitio web: zatoautopilotbot.com