AiboTask AiboTask Legal Documentos legales públicos

Documentos legales públicos

AiboTask — Resumen de seguridad (Medidas técnicas y organizativas)

Versión: 1.1
Fecha de vigencia: 5 de abril de 2026
Proveedor / Operador de la plataforma: AirTek Technologies (RUC 0924829179001)
Dirección registrada: Cooperativa Adesdac MZ 70 S 13, Ecuador
Contacto de seguridad/privacidad: ruben.lazaro@clitecser.com

Este documento resume las Medidas Técnicas y Organizativas (TOMs) utilizadas para proteger datos personales tratados en aibotask.

Es un resumen de alto nivel para Clientes (Tenants). Los controles específicos pueden variar según configuración/entorno y pueden mejorar con el tiempo.

1) Infraestructura y hosting

  • Proveedor principal: Amazon Web Services (AWS).
  • Región principal: us-east-1 (N. Virginia, United States).
  • No se mantienen backups fuera de us-east-1 (N. Virginia, United States) (a la fecha de vigencia).

2) Control de acceso

  • Controles de acceso por roles (RBAC) para usuarios del portal administrativo/comercial SaaS360.
  • Principio de mínimo privilegio para accesos internos del Proveedor (soporte/seguridad) bajo necesidad.
  • Acciones administrativas deberían quedar registradas/auditadas (ej.: creación de usuarios, cambios de rol).

3) Autenticación y sesiones

  • Políticas de contraseña y autenticación segura para cuentas de SaaS360 y otros portales web relacionados.
  • Expiración de sesión y configuración segura de cookies/sesiones en portales web.
  • MFA (doble factor) opcional donde exista soporte.

4) Cifrado

  • Cifrado en tránsito con HTTPS/TLS para comunicaciones web y API.
  • Cifrado en reposo donde lo soporten los servicios AWS y la configuración (ej.: cifrado de BD/almacenamiento).

5) Separación de datos (multi-tenant)

  • Separación lógica de datos por Tenant (identificadores de tenant y validaciones de autorización).
  • El acceso a datos de un Tenant se restringe frente a otros Tenants por diseño y controles.

6) Logs, monitoreo y telemetría

  • Logs de aplicación e infraestructura para seguridad y confiabilidad.
  • Monitoreo y alertas por comportamiento anómalo y disponibilidad.
  • Telemetría de desempeño/uso de portales web operados por el Proveedor (incluyendo SaaS360) mediante Amazon CloudWatch RUM.

7) Prácticas de desarrollo seguro

  • Gestión de cambios y revisiones de código para releases.
  • Separación de ambientes (dev/test/prod) cuando sea factible.
  • Manejo seguro de secretos (variables/secret manager).

8) Gestión de vulnerabilidades

  • Actualizaciones de seguridad y parches para dependencias y sistemas donde aplique.
  • Revisión periódica de dependencias y remediación de vulnerabilidades críticas.
  • Pruebas de seguridad pueden incluir análisis estático, escaneo de dependencias y/o pentesting (según alcance).

9) Backups y continuidad

  • Backups (si están habilitados) se mantienen dentro de us-east-1 (N. Virginia, United States).
  • Retención de backups y objetivos de recuperación dependen de la configuración y pueden alinearse a requerimientos del Cliente.

10) Respuesta a incidentes (alto nivel)

  • El Proveedor mantiene un proceso de respuesta a incidentes para detectar, contener y remediar.
  • Para incidentes que involucren datos del Cliente, el Proveedor notificará al Cliente/Tenant sin dilación indebida y conforme obligaciones contractuales (ver DPA).

11) Subprocesadores

Subprocesadores y proveedores clave incluyen AWS (hosting, SES, Pinpoint, servicios de mapas, CloudWatch RUM), Apple/Google para entrega de push y Kushki para transacciones de suscripción procesadas en SaaS360. Ver la Lista de subprocesadores pública.

12) Responsabilidades del Cliente

Los Tenants también son parte de la seguridad:

  • usar contraseñas fuertes / MFA si está disponible
  • limitar accesos a personal autorizado
  • configurar retención adecuada
  • uso responsable de la app (no subir datos personales innecesarios)

13) Contacto

Consultas de seguridad/privacidad: ruben.lazaro@clitecser.com.