CONFIANZA Y SEGURIDAD
Diseñado para superar su revisión de seguridad.
Cada protocolo, subencargado y compromiso ante incidentes, en un solo lugar. Léalo en cinco minutos o entrégueselo a su equipo.
CUMPLIMIENTO
Estándares de los que nos hacemos responsables.
Publicamos lo que hemos logrado, lo que estamos auditando y lo que está en la hoja de ruta. Sin afirmaciones sin pruebas.
SOC 2
Auditoría en hoja de rutaObjetivo de Type I en Q1 2027, Type II en Q4 2027. Recertificación anual a partir de entonces.
GDPR
AlineadoOpera conforme a los principios del GDPR de la UE. DPA disponible bajo petición.
CCPA
AlineadoSe respetan los derechos de la California Consumer Privacy Act para todos los usuarios de California.
ISO 27001
En hoja de rutaPrevisto tras la finalización de SOC 2 Type II.
TRATAMIENTO DE DATOS
Qué conservamos y durante cuánto tiempo.
Cada categoría de datos que tocamos, dónde reside y cuándo se elimina. Los valores predeterminados son conservadores; los espacios de trabajo pueden restringirlos más.
- Audio de la reunión
- Se procesa para la transcripción y, después, se elimina en un plazo de 24 horas tras finalizar la reunión. Nunca se utiliza para entrenar modelos.
- Transcripciones y traducciones
- Se almacenan en su espacio de trabajo. La conservación es configurable por espacio de trabajo; el valor predeterminado es de 90 días.
- Resúmenes y tareas pendientes
- Se almacenan junto a la transcripción de origen y siguen la misma política de conservación.
- Metadatos de cuenta y espacio de trabajo
- Se conservan mientras la cuenta esté activa. Se eliminan en un plazo de 30 días tras el cierre de la cuenta.
- Datos de facturación
- Los pagos los procesa LemonSqueezy como Merchant of Record. Sageio solo almacena metadatos de la suscripción, nunca los datos de la tarjeta de pago.
- Residencia de los datos
- Implementación multirregión disponible. Regiones de la UE, EE. UU. y Asia-Pacífico admitidas en los planes Enterprise.
- Acceso interno
- El acceso a producción requiere una necesidad de negocio explícita, está limitado en el tiempo y se registra para auditoría.
CIFRADO
Protocolos modernos, sin excepciones.
El cifrado es un estándar, no un nivel de plan. Las normas siguientes se aplican a todos los espacios de trabajo, en todos los planes.
TLS 1.3 para cada conexión de cliente, con HSTS aplicado en los dominios de Sageio.
AES-256-GCM en reposo en las bases de datos de aplicación y el almacenamiento de objetos.
Claves de cifrado gestionadas por el proveedor mediante AWS KMS, rotadas según calendario.
Audio de la reunión cifrado en tránsito desde el bot hasta la capa de procesamiento.
Copias de seguridad cifradas, conservadas 30 días, restauradas según un calendario probado.
CONTROLES DE ACCESO
Las llaves de su espacio de trabajo, en sus términos.
Identidad, roles y registros de auditoría configurados como esperan los equipos de TI empresarial. No añadidos a posteriori, sino integrados desde el primer usuario.
Inicio de sesión único SAML 2.0, disponible en los planes Enterprise.
Inicio de sesión OIDC mediante Google y Microsoft para los espacios de trabajo de autoservicio.
Control de acceso basado en roles con cuatro niveles: Owner, Admin, Member y Viewer.
Registro de auditoría de cada acción de administración y acceso a datos, conservado 12 meses.
Tiempo de espera de sesión configurable y lista de IP permitidas en los planes Enterprise.
SUBENCARGADOS
Los proveedores de los que dependemos, nombrados públicamente.
Sageio se apoya en un pequeño grupo de proveedores consolidados para el almacenamiento, la identidad y el procesamiento con IA. La lista completa, con su finalidad y la ubicación de los datos, está en el DPA.
RESPUESTA ANTE INCIDENTES
Cuando algo falla, se entera por nosotros primero.
La notificación al cliente es la primera hora de la respuesta, no la última. Los clientes afectados reciben un aviso directo; la comunidad en general ve nuestra página de estado pública.
La detección se realiza mediante monitorización continua. Los ingenieros de guardia declaran y asignan un responsable del incidente en un plazo de 30 minutos. Para cualquier incidente que afecte a datos de clientes, los clientes afectados son notificados por correo en un plazo de 24 horas tras la confirmación, con actualizaciones provisionales mientras continúa la investigación. Se comparte una revisión posterior al incidente por escrito en un plazo de 7 días, y las interrupciones visibles para el cliente se registran en status.sageio.net.
¿Tiene un cuestionario de seguridad?
Envíenoslo. Respondemos en un plazo de dos días laborables con las respuestas completas, las certificaciones y los documentos de apoyo que su equipo necesita.