Seguridad y Privacidad
Tus datos te pertenecen.
Propiology está construido sobre infraestructura AWS con seguridad y privacidad como propiedades arquitectónicas — no como pensamientos posteriores.
Autenticación e Identidad
AWS Cognito
Toda la autenticación de usuarios es gestionada por AWS Cognito con hash de contraseñas estándar de la industria, verificación de correo electrónico y autenticación multifactor TOTP opcional.
Control de acceso basado en roles
Cinco grupos de usuarios de Cognito (Usuarios finales, Coaches, Administradores corporativos, Proveedores de salud, Super admins) con permisos a nivel de grupo aplicados en la capa de API y datos.
Gestión de sesiones
Tokens JWT con expiración configurable. Sin tokens de sesión almacenados en texto plano. Cognito gestiona la rotación y revocación de tokens.
Almacenamiento y Cifrado de Datos
DynamoDB en reposo
Todos los datos de usuario — hábitos, Puntajes de Disposición, entradas de diario, conversaciones de IA y entradas biométricas — se almacenan en AWS DynamoDB con cifrado en reposo usando claves gestionadas por AWS (AES-256).
Almacenamiento de objetos S3
Los reportes e imágenes de perfil se almacenan en AWS S3 con cifrado del lado del servidor. Control de acceso a nivel de objeto aplicado por URLs pre-firmadas con ventanas de expiración cortas.
Cifrado en tránsito
Todos los datos en tránsito usan TLS 1.2 o superior. Los endpoints de la API son HTTPS únicamente. Sin canales sin cifrar.
Privacidad de Datos Individuales
Tus datos son tuyos
Las entradas de diario, conversaciones de IA y datos biométricos son privados para ti por defecto. Ningún administrador — incluyendo el departamento de RR.HH. de tu organización — puede acceder a estos datos sin tu consentimiento explícito.
Exportación de datos
Puedes exportar todos tus datos (hábitos, puntajes, entradas de diario, conversaciones de IA) en formato JSON desde la configuración de la cuenta en cualquier momento.
Eliminación de cuenta
Eliminar tu cuenta elimina permanentemente tus datos de nuestros sistemas en 30 días. Los reportes exportados en posesión de tu organización no se ven afectados por esta eliminación.
Retención de datos de 90 días después de la cancelación
Si tu suscripción caduca, tus datos se preservan en modo de solo lectura por 90 días. Puedes exportar todo durante esta ventana.
Datos de Equipo y B2B (Centro de Comando)
Anónimo por defecto
En el Centro de Comando, los Puntajes de Disposición individuales son anónimos por defecto. Los administradores corporativos ven puntajes agregados, no datos individuales.
Acceso individual basado en consentimiento
Un administrador corporativo puede solicitar acceso individual. El usuario final recibe una notificación en la app y por WhatsApp. El usuario acepta o rechaza explícitamente. No se otorga acceso sin consentimiento afirmativo.
Registro de auditoría
Cada evento de consentimiento, otorgamiento de acceso, revocación de acceso y exportación de datos se registra en DynamoDB con marca de tiempo ISO 8601, ID del actor y tipo de acción. Los registros son inmutables y exportables para revisión de cumplimiento.
Revocación de consentimiento
Los usuarios pueden revocar los otorgamientos de acceso individual en cualquier momento desde la configuración de la cuenta. La revocación tiene efecto inmediato.
Infraestructura y Cumplimiento
AWS Amplify Gen 2
Implementado en AWS Amplify Gen 2 con infraestructura de backend basada en CDK. Pipeline de CI/CD con implementaciones automáticas desde GitHub. Entornos de vista previa de ramas para pruebas.
Región
Datos almacenados en AWS us-east-1 (Estados Unidos) por defecto. Los clientes empresariales en jurisdicciones regulatorias específicas pueden solicitar residencia de datos en otras regiones de AWS.
Postura HIPAA
La arquitectura de datos de Propiology está diseñada con el cumplimiento de HIPAA en mente — autenticación Cognito, cifrado DynamoDB en reposo, registro de auditoría y modelo de consentimiento. Los clientes en entornos de salud regulados deben consultar con su equipo de cumplimiento antes de la implementación.
SOC 2
La infraestructura AWS (Cognito, DynamoDB, S3, Lambda) tiene certificación SOC 2 Tipo II. El cumplimiento SOC 2 a nivel de aplicación de Propiology está en la hoja de ruta para después del MVP.
WhatsApp e Integraciones de Terceros
WhatsApp (Twilio)
Los mensajes de WhatsApp se envían a través de la API de WhatsApp Business de Twilio. Tu número de WhatsApp se almacena cifrado en DynamoDB. La suscripción y cancelación se controla desde la configuración de tu cuenta. Twilio procesa los mensajes según su propia política de privacidad.
Proveedores biométricos
Las integraciones de Fitbit y Garmin usan OAuth 2.0. Almacenamos solo el token de actualización OAuth (cifrado) y los datos biométricos obtenidos a través de la API. No almacenamos credenciales OAuth en bruto.
Proveedores de IA
Las conversaciones de herramientas de IA se envían a la API de Claude de Anthropic (o OpenAI, si se configura). Tu contenido de conversación se procesa según el acuerdo de procesamiento de datos del proveedor de IA. Almacenamos el historial de conversaciones en DynamoDB bajo tu cuenta.
Stripe
El procesamiento de pagos usa Stripe. No almacenamos números completos de tarjetas de pago. Stripe procesa los pagos bajo cumplimiento PCI DSS. Almacenamos tu ID de cliente de Stripe y el estado de la suscripción en DynamoDB.
Preguntas de seguridad o incidentes
Para divulgaciones de seguridad o consultas de privacidad de datos, contáctanos en hello@propiology.com.
Respondemos a consultas de seguridad dentro de las 24 horas en días hábiles.