Centro de Confianza

Tus Datos.
Nuestra Fortaleza.

Seguridad y cumplimiento de nivel empresarial — cifrado AES-256, registros de auditoría, aislamiento de datos, cobertura HIPAA/GDPR/LFPDPPP completa. Cada llamada protegida. Cada registro en cumplimiento.

✅ LFPDPPP ✅ CCPA / CPRA ✅ HIPAA Ready ✅ GDPR Ready ✅ LGPD Ready ✅ TCPA ✅ AES-256 🔄 SOC 2 Type II (En Progreso) ✅ STIR/SHAKEN ✅ TLS 1.3
Certificaciones y Estándares

Nuestras Certificaciones

Cada estándar con el que cumplimos — y por qué importa a tu negocio.

🔒
Cifrado AES-256
Todas las grabaciones, transcripciones y datos de clientes cifrados en reposo con AES-256-GCM. Todo el tráfico sobre TLS 1.3.
● Activo
🇲🇽
LFPDPPP — México
Ley Federal de Protección de Datos Personales. Aviso de privacidad, derechos ARCO, documentación lista para INAI, minimización de datos, mecanismos de transferencia transfronteriza.
● Cumplimiento
🇺🇸
CCPA / CPRA — California
California Consumer Privacy Act. Derecho a saber, derecho a eliminar, derecho a no vender, aviso de privacidad al momento de recolección.
● Cumplimiento
🏥
HIPAA — EE.UU. Salud
PHI cifrado en reposo y tránsito, BAA disponible en plan Enterprise, principio de mínima necesidad, controles de acceso, registros de auditoría.
● Listo
🇪🇺
GDPR — UE / EEE
Reglamento General de Protección de Datos. DPA disponible, Cláusulas Contractuales Estándar para transferencias, DPO designado.
● Listo
🇧🇷
LGPD — Brasil
Lei Geral de Proteção de Dados. Marco de consentimiento, derechos del titular, protocolos de notificación de brechas listos para ANPD.
● Listo
📋
TCPA — EE.UU. Telemarketing
Telephone Consumer Protection Act. Integración con registro DNC, consentimiento expreso previo por escrito, procesamiento de opt-out en ≤10 días.
● Cumplimiento
📞
STIR/SHAKEN
Todas las llamadas salientes verificadas criptográficamente para prevenir suplantación de identidad telefónica.
● Activo
🔐
Autenticación de Dos Factores
Autenticación por magic-link para todo acceso al panel. Sin almacenamiento de contraseñas. Tokens de sesión cifrados.
● Activo
🛡️
SOC 2 Type II
System and Organization Controls para seguridad, disponibilidad y confidencialidad. Evaluación de preparación completa. Auditoría completa en progreso.
⏳ En Progreso
País por País

Matriz de Cumplimiento Global

Dónde operamos y qué cumplimos — por jurisdicción.

Regulación País Estado Obligaciones Clave que Cumplimos
LFPDPPP 🇲🇽 México ✅ Cumplimiento Aviso de privacidad, portal de derechos ARCO, listo para INAI, minimización de datos, mecanismos de transferencia transfronteriza
CCPA / CPRA 🇺🇸 California, EE.UU. ✅ Cumplimiento Derecho a saber, eliminar, oponerse a la venta, aviso de privacidad al recolectar, no discriminación
HIPAA 🇺🇸 EE.UU. (Salud) ✅ Listo PHI cifrado en reposo y tránsito, BAA disponible, principio mínima necesidad, controles de acceso, auditoría, notificación de brechas
TCPA 🇺🇸 EE.UU. ✅ Cumplimiento Consentimiento expreso previo por escrito, consultas DNC, procesamiento opt-out ≤10 días, restricciones de horario de llamadas
GDPR 🇪🇺 UE / EEE ✅ Listo DPA disponible, CCE para transferencias, DPO designado, derecho al olvido, notificación de brecha en 12h
LGPD 🇧🇷 Brasil ✅ Listo Gestión de consentimiento, derechos del titular, notificación de brechas para ANPD, contratos responsable/encargado
PIPEDA 🇨🇦 Canadá ✅ Listo Consentimiento significativo, limitación de propósito, derechos de acceso individual, notificación de brecha en 12h
DPDP 2023 🇮🇳 India ✅ Listo Obligaciones de fiduciario de datos, derechos del principal (acceso, corrección, eliminación, queja), marco de consentimiento
Cómo Funciona

Cómo Protegemos Cada Llamada

Desde que entra la llamada hasta que se almacena — cada paso protegido.

📞
Llamada Entrante
Twilio enruta por número verificado con STIR/SHAKEN. ID de llamante verificado.
🤖
Consentimiento IA
La IA se identifica como IA y solicita consentimiento de grabación conforme a ley.
🔐
TLS 1.3
Todo el audio, texto y APIs cifrados en tránsito. Sin texto plano jamás.
💬
Respuesta IA
El LLM procesa solo la conversación actual. Sin acceso entre clientes.
📦
AES-256 Storage
Transcripción + grabación cifradas en reposo. Almacenadas en tu región.
🗑️
Auto-Eliminación
Datos eliminados según tu política de retención. Elimínalos cuando quieras.

Aislamiento de Inquilinos

Cada cuenta de KAITALK es un inquilino separado. Tus registros de llamadas, transcripciones y datos de clientes están aislados a nivel de fila — sin tablas compartidas, sin consultas entre cuentas. Una credencial comprometida de la Cuenta A no puede acceder a los datos de la Cuenta B. Esta es la misma arquitectura que usan los centros de contacto enterprise.

Procesadores Externos

Nuestros Sub-Procesadores

Cada empresa que maneja tus datos — y sus certificaciones.

Proveedor Propósito Datos Procesados Certificaciones
Twilio Llamadas, SMS, WhatsApp Audio de llamadas, números telefónicos SOC 2 Type II, ISO 27001, HIPAA BAA
Neon (PostgreSQL) Base de datos Todos los datos estructurados (cifrados) SOC 2 Type II, ISO 27001
Render Hosting de aplicación Código de app, variables de entorno (sin PII) SOC 2 Type II
Cloudflare (R2) Almacenamiento de archivos Grabaciones de llamadas (cifradas) SOC 2 Type II, ISO 27001, PCI DSS
Postmark Correo transaccional Dirección de email, tokens de magic link SOC 2 Type II
Stripe Procesamiento de pagos Datos de pago (PCI DSS) PCI DSS Level 1, SOC 2, ISO 27001
Ética de IA

Lo Que Nuestra IA Hará — y No Hará

Siempre se Identifica como IA

KAITALK nunca afirmará ser humano. Al inicio de cada llamada, la IA se identifica como asistente de inteligencia artificial. Esta es una restricción de hardware, no una opción de configuración.

🚫

Sin Consejos Médicos, Legales o Financieros

KAITALK nunca proporcionará diagnósticos, interpretaciones legales ni recomendaciones financieras. Redirige esas preguntas a humanos calificados. Siempre.

🔒

Datos Limitados a Tu Negocio

La IA solo accede a datos de tu cuenta de negocio asignada. No puede consultar datos de otros negocios, y nunca retiene datos de conversaciones entre sesiones.

🚫

Sin Entrenamiento con Tus Datos

Tus transcripciones, datos de clientes e información de negocio nunca se usan para entrenar modelos de IA. Ni los nuestros ni los de nuestros proveedores de LLM. Esto se hace cumplir contractualmente.

📊

Auditorías de Sesgo

Auditorías automatizadas semanales verifican disparidades de rendimiento entre idioma, género, acento y demografía de nombres. Los fallos activan revisión humana.

🛑

Escalación Siempre Disponible

Los llamantes siempre pueden solicitar un humano. La IA detecta señales de escalación (frustración, problemas complejos, angustia emocional) y transfiere inmediatamente.

Preguntas Frecuentes

Seguridad y Privacidad

¿Mis datos se usan para entrenar modelos de IA?
No. Tus transcripciones, datos de clientes e información de negocio nunca se usan para entrenar ningún modelo de IA — ni nuestros ni los de nuestros proveedores de LLM. Esto se hace cumplir contractualmente en nuestros acuerdos con todos los sub-procesadores de IA.
¿Dónde se almacenan mis datos?
Cuentas MX: datos almacenados en Neon PostgreSQL en US-East hoy, con residencia de datos en México planeada para Q3 2026. Cuentas US: US-East (Virginia) con respaldos en US-West. Las grabaciones de llamadas se almacenan en Cloudflare R2 en tu región más cercana. Nunca replicamos tus datos a plataformas de marketing o analytics de terceros.
¿Puedo eliminar todos mis datos?
Sí. Usa nuestro portal de Solicitud de Derechos para solicitar la eliminación completa de tu cuenta. Procesamos las solicitudes de eliminación en 30 días. Después de la eliminación, tus datos se purgan de todos los sistemas incluyendo respaldos. Solo retenemos lo que la ley requiere (por ejemplo, registros de transacciones financieras).
¿Están certificados bajo la LFPDPPP de México?
Sí. Cumplimos con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Tenemos aviso de privacidad publicado, portal de derechos ARCO funcional (acceso, rectificación, cancelación, oposición), mecanismos para transferencias transfronterizas y procedimientos de atención a solicitudes en los plazos legales (20 días hábiles). Documentación lista para revisión del INAI.
¿KAITALK es compatible con HIPAA para datos de salud?
Sí, KAITALK está listo para HIPAA y puede procesar Información de Salud Protegida (PHI) en el plan Enterprise. Se requiere un Acuerdo de Socio Comercial (BAA) firmado — disponible en Enterprise. El modo PHI aplica retención mínima necesaria de datos, restringe el acceso solo a usuarios autorizados y habilita registro de auditoría mejorado.
¿Tienen SOC 2?
Actualmente estamos en proceso de auditoría SOC 2 Type II. Evaluación de preparación completa. Ventana de auditoría hasta Q3 2026, informe esperado Q4 2026. Clientes enterprise que necesiten el informe antes pueden solicitar nuestro cuestionario de seguridad y documentación de controles actuales contactando security@kaitalk.online.
¿Tienen un Contrato de Tratamiento de Datos (DPA)?
Sí. Un DPA está disponible para todos los clientes que lo requieran para GDPR, LGPD o cumplimiento enterprise. Descárgalo en nuestra página de DPA o contacta legal@kaitalk.online para ejecutar una versión firmada. Las Cláusulas Contractuales Estándar (CCE) están incluidas para transferencias UE-EE.UU.

Contacto de Seguridad

Para reportar vulnerabilidades o solicitar documentación de seguridad:

security@kaitalk.online

Privacidad / DPO

Para solicitudes LFPDPPP, GDPR, LGPD, derechos ARCO y consultas de DPA:

privacy@kaitalk.online

Documentos

→ Política de Privacidad (EN) → Aviso de Privacidad (MX) → Aviso de Privacidad (ES) → Contrato de Tratamiento de Datos → HIPAA BAA Template → Solicitud de Derechos ARCO

Seguridad empresarial.
Precio de PyME.

Empieza tu prueba gratuita de 12 horas. Sin tarjeta de crédito. Tus datos cifrados desde la primera llamada.

Empezar Gratis → View in English
Seguridad empresarial. Precio de PyME. 🔒 AES-256 🇲🇽 LFPDPPP 🏥 HIPAA 🇪🇺 GDPR 📞 STIR/SHAKEN Ver Centro de Confianza →