07 / seguridad

tus datos, tranquilos.

Tratamos cada conversación como si fuera nuestra. Aquí está la lista exacta de qué hacemos para protegerla.

◆ resumen

Cifrado en tránsito y reposo, mínimo privilegio, aislamiento por workspace, sin entrenar modelos globales con tu data y backups diarios. Reportes y consultas: seguridad@heysteff.com.

Cifrado

  • En tránsito: TLS 1.2+ en todo. Sin excepciones para canales internos.
  • En reposo: AES-256 para Postgres y archivos en disco. Llaves rotadas trimestralmente.
  • Secretos: nunca en código ni en repos. Gestionados con un secret manager dedicado.

Datos y modelos

  • Tu data no se usa para entrenar modelos globales. Punto.
  • Las conversaciones quedan aisladas por workspace. Ningún cliente puede ver datos de otro.
  • Procesamos modelos vía proveedores de IA con compromisos de no-retención (zero data retention) o equivalentes.
  • Puedes pedir exportar o borrar toda tu data en menos de 30 días.

Infraestructura

  • Servidores en regiones que tú eliges (default: Sudamérica / Norteamérica).
  • Backups automáticos cada 24h. Retención mínima 30 días.
  • Acceso administrativo solo con 2FA + autorización individual auditada.
  • Monitoreo 24/7. Alertas en tiempo real para anomalías.

Cumplimiento

  • Ley 19.628 de protección de datos personales (Chile).
  • Mejores prácticas GDPR para clientes en la UE.
  • Cumplimiento de las políticas oficiales de WhatsApp Business y Meta Platforms.
  • SOC 2 Type I en curso (objetivo cierre 2026).

Reporte responsable

¿Encontraste un problema de seguridad? Escríbenos a seguridad@heysteff.com. Respondemos en menos de 48 horas y reconocemos a quienes nos ayudan.

07 / security

your data, at rest.

We treat every conversation like it's our own. Here's the exact list of how we protect it.

◆ summary

Encryption in transit & at rest, least privilege, workspace isolation, no training of global models on your data, daily backups. Reports & questions: security@heysteff.com.

Encryption

  • In transit: TLS 1.2+ everywhere. No exceptions for internal channels.
  • At rest: AES-256 for Postgres and disk storage. Keys rotated quarterly.
  • Secrets: never in code or repos. Managed by a dedicated secret manager.

Data and models

  • Your data is never used to train global models. Period.
  • Conversations are isolated per workspace. No customer can see another's data.
  • We process model calls via AI providers with zero-data-retention commitments or equivalents.
  • You can request a full export or deletion in under 30 days.

Infrastructure

  • Servers in regions you choose (default: South America / North America).
  • Automated backups every 24h. Minimum 30-day retention.
  • Admin access only with 2FA + audited per-person authorization.
  • 24/7 monitoring. Real-time anomaly alerts.

Compliance

  • Chilean Law 19.628 (personal data protection).
  • GDPR best practices for EU customers.
  • Aligned with WhatsApp Business & Meta Platforms official policies.
  • SOC 2 Type I in progress (target: late 2026).

Responsible disclosure

Found a security issue? Email security@heysteff.com. We answer within 48 hours and credit researchers who help us.