Seguridad de datos
Como CX Inbox protege los datos de tu empresa y de tus clientes.
La seguridad de los datos de tu empresa y de tus clientes es una prioridad en CX Inbox. Esta guia describe las medidas de seguridad implementadas en cada capa de la plataforma.
Arquitectura de aislamiento
CX Inbox utiliza una arquitectura multi-tenant con aislamiento estricto a nivel de organizacion. Cada organizacion opera como un espacio completamente independiente.
| Capa de aislamiento | Descripcion |
|---|---|
| Contexto por solicitud | Cada solicitud HTTP se ejecuta con el contexto de la organizacion autenticada |
| Filtrado automatico en base de datos | Todas las consultas a la base de datos filtran automaticamente por organizacion |
| Seguridad a nivel de base de datos | PostgreSQL Row-Level Security (RLS) como respaldo adicional |
Esto significa que una organizacion nunca puede acceder a los datos de otra organizacion, ni por error ni por manipulacion de solicitudes.
Autenticacion
Usuarios del dashboard
| Mecanismo | Detalle |
|---|---|
| Tokens JWT | Sesiones basadas en JSON Web Tokens con expiracion configurable |
| Hashing de contrasenas | bcrypt con salt aleatorio, nunca se almacenan contrasenas en texto plano |
| Login por organizacion | Cada inicio de sesion requiere el identificador de la organizacion ademas de email y contrasena |
Integraciones (maquina a maquina)
| Mecanismo | Detalle |
|---|---|
| API Keys | Prefijo cxi_, hasheadas con SHA-256 antes de almacenarse |
| Sin almacenamiento en texto plano | CX Inbox nunca guarda el valor original de la API key |
| Revocacion inmediata | Las keys se pueden eliminar en cualquier momento y dejan de funcionar al instante |
Control de acceso basado en roles
CX Inbox implementa un sistema de roles que controla que puede hacer cada usuario:
| Rol | Permisos |
|---|---|
| Administrador | Acceso completo: configuracion, usuarios, bot, campanas, analiticas, facturacion |
| Agente | Atender conversaciones, usar respuestas rapidas, ver contactos |
| Viewer | Solo lectura: puede ver conversaciones y analiticas pero no puede modificar nada |
Los permisos se verifican tanto en el frontend (visibilidad de opciones) como en el backend (validacion de cada solicitud).
Cada endpoint del API valida el rol del usuario. Incluso si alguien intenta acceder directamente a un endpoint restringido, la solicitud sera rechazada si no tiene el rol adecuado.
Datos en transito
| Medida | Descripcion |
|---|---|
| HTTPS/TLS | Todas las conexiones entre tu navegador y CX Inbox estan encriptadas con TLS |
| WebSocket seguro | Las conexiones en tiempo real (mensajes, notificaciones) tambien usan encriptacion TLS |
| Stripe TLS | Los datos de pago viajan directamente a Stripe por conexion encriptada |
Nunca se transmite informacion sensible sin encriptar.
Datos en reposo
| Medida | Descripcion |
|---|---|
| PostgreSQL con encriptacion | La base de datos utiliza encriptacion en reposo para proteger los datos almacenados |
| Archivos multimedia | Los archivos subidos se almacenan en el servidor con acceso restringido |
| Contrasenas hasheadas | bcrypt con salt, nunca en texto plano |
| API Keys hasheadas | SHA-256, irreversible |
Seguridad de WhatsApp
La comunicacion por WhatsApp mantiene las capas de seguridad que proporciona Meta:
- Encriptacion de extremo a extremo gestionada por la infraestructura de Meta
- WhatsApp Business API oficial con verificacion de cuenta empresarial
- Webhook verificado con token secreto y validacion de firma del App Secret
- Tokens de acceso almacenados de forma segura por organizacion
CX Inbox actua como intermediario autorizado a traves de la API oficial de WhatsApp Business. Los mensajes se procesan a traves de la infraestructura de Meta con sus estandares de seguridad.
Proteccion contra ataques
| Medida | Descripcion |
|---|---|
| Rate limiting | Limites de solicitudes por usuario para prevenir abuso y ataques de fuerza bruta |
| Validacion de entrada | Todos los datos recibidos se validan y sanitizan antes de procesarse |
| Proteccion CORS | Solo origenes autorizados pueden interactuar con el API |
| Timeout de sesion | Las sesiones inactivas expiran automaticamente |
Respaldos
| Concepto | Detalle |
|---|---|
| Respaldos automaticos | La base de datos se respalda automaticamente de forma periodica |
| Retencion | Los datos de conversaciones se conservan mientras la cuenta este activa |
| Eliminacion al cancelar | Los datos se eliminan permanentemente 30 dias despues de cancelar la suscripcion |
Pagos seguros
Los pagos se procesan exclusivamente a traves de Stripe (PCI DSS Nivel 1):
- CX Inbox nunca almacena numeros de tarjeta, CVV ni datos sensibles de pago
- Los datos de tu tarjeta viajan directamente de tu navegador a Stripe
- CX Inbox solo recibe un token de referencia para procesar cargos recurrentes
Para mas detalles, consulta Metodos de pago.
Si detectas actividad sospechosa en tu cuenta (accesos no reconocidos, mensajes que no enviaste), cambia tu contrasena inmediatamente y contacta a soporte.
Recomendaciones para administradores
Para mantener la seguridad de tu organizacion:
- Usa contrasenas fuertes y distintas para cada usuario
- Revisa regularmente los usuarios activos y elimina los que ya no necesiten acceso
- Revoca API Keys que ya no se utilicen
- Asigna el rol minimo necesario a cada usuario (Viewer si solo necesita consultar, Agente si atiende, Admin solo para quien administra)
- Revisa el historial de accesos y actividad en las analiticas
¿Esta página fue útil?