Saltar al contenido
Quotery

Seguridad

Prácticas de seguridad de Quotery: cifrado TLS 1.3, AES-256-GCM en reposo, Cloudflare CDN, hosting Render, retención de datos y programa de divulgación de vulnerabilidades para compradores empresariales.

Estándares de cifrado

Todos los datos transmitidos entre su navegador y Quotery están cifrados con TLS 1.3 utilizando conjuntos de cifrado modernos. En reposo, los datos del cliente se cifran con AES-256-GCM. Los volúmenes de base de datos utilizan cifrado administrado por el proveedor de nube. Las copias de seguridad se cifran con el mismo estándar antes de salir del centro de datos. Las claves de API y secretos se hashean o cifran antes del almacenamiento y nunca se registran en texto plano.

Infraestructura

Quotery se ejecuta en la infraestructura compatible con SOC 2 de Render, con PostgreSQL 17 como base de datos principal y Redis 7 para almacenamiento en caché y funciones en tiempo real. Los activos estáticos y el tráfico de API están protegidos por la red de entrega de contenido de Cloudflare, que proporciona mitigación DDoS, reglas WAF y caché perimetral. La aplicación se implementa en contenedores aislados con límites de recursos y recuperación automática mediante health checks. Las variables de entorno y secretos se gestionan a través del almacenamiento cifrado de Render y nunca se envían al control de versiones.

Sub-procesadores

Quotery utiliza los siguientes sub-procesadores para ofrecer la plataforma: OpenAI (importación de documentos con IA — los PDFs de proveedores, Excel y CSV se envían a OpenAI para extracción de estructura, coincidencia de productos y generación de resúmenes; ningún dato del cliente se utiliza para entrenamiento de modelos); Stripe (procesamiento de pagos — los datos de tarjetas de crédito son manejados completamente por la infraestructura PCI de Stripe; Quotery nunca almacena ni procesa información de pago); PostHog (analítica de producto — datos anonimizados de uso del producto para mejorar la plataforma; no se recopila información personal identificable); Grafana Cloud (monitoreo de infraestructura — métricas de rendimiento y registros de errores; no se incluyen datos del cliente). Cada sub-procesador está sujeto a un acuerdo de procesamiento de datos consistente con las obligaciones de seguridad de Quotery.

Control de acceso

Quotery aplica un aislamiento estricto de multi-tenant a nivel de base de datos. Los datos de cada tenant están segregados por un identificador de tenant que se aplica en cada consulta — ningún tenant puede acceder a los datos de otro tenant a través de ningún endpoint de la API. El control de acceso basado en roles (RBAC) está integrado en la plataforma, con roles predefinidos (Admin, Gerente, Usuario, Visor) que limitan lo que cada miembro del equipo puede ver y hacer. Los clientes Enterprise pueden configurar SAML SSO para la federación de identidades con su proveedor de identidad existente. Todo el acceso al entorno de producción está protegido por VPN, autenticación mediante clave SSH y cuentas de usuario individuales con un gestor de contraseñas obligatorio. El acceso se registra y audita trimestralmente.

Retención de datos

Los datos del cliente se conservan durante la vigencia de la suscripción activa. Tras la cancelación, los datos de la cuenta permanecen accesibles en modo de solo lectura durante 30 días para permitir la exportación. Después del período de exportación de 30 días, la cuenta y todos los datos asociados se eliminan permanentemente. Las copias de seguridad automáticas diarias se conservan durante 90 días. Las copias de seguridad están cifradas en reposo y en tránsito. Después de 90 días, las copias de seguridad se rotan automáticamente y se destruyen permanentemente. No se conservan datos del cliente más allá de estos períodos, a menos que lo exija la ley aplicable.

Cumplimiento y certificaciones

Quotery se ejecuta en la infraestructura certificada SOC 2 Type II de Render, que cumple con los Criterios de Servicios de Confianza de AICPA para seguridad, disponibilidad y confidencialidad. Render se somete a auditorías anuales de terceros y proporciona el informe SOC 2 bajo NDA a clientes empresariales. Quotery está buscando su propia certificación SOC 2 Type II; la evaluación de preparación está completa y la ventana de auditoría está planificada para finales de 2026. Mientras tanto, nuestras prácticas de seguridad se alinean con los criterios SOC 2: controles de acceso documentados, auditorías de acceso trimestrales, datos cifrados en reposo y en tránsito, verificación automatizada de copias de seguridad y un plan formal de respuesta a incidentes. Los compradores empresariales pueden solicitar nuestro cuestionario de seguridad y hoja de ruta de cumplimiento en security@quotery.io.

Acuerdo de Procesamiento de Datos (DPA)

Un Acuerdo de Procesamiento de Datos está disponible para todos los planes pagos bajo solicitud. El DPA cubre las obligaciones de Quotery como procesador de datos bajo GDPR y LGPD, incluyendo: limitación de propósito (datos procesados solo para entregar la plataforma Quotery), divulgación de sub-procesadores (OpenAI, Stripe, PostHog, Grafana Cloud — listados arriba con las actividades de procesamiento), asistencia en solicitudes de titulares de datos, notificación de brechas en 72 horas y eliminación o devolución de datos del cliente al término del contrato. Contacte a sales@quotery.io para solicitar el DPA actual. El DPA incorpora Cláusulas Contractuales Estándar (SCCs) para transferencias transfronterizas de datos cuando corresponda.

Reporte una vulnerabilidad

Nos tomamos en serio la seguridad de nuestra plataforma. Si descubre una posible vulnerabilidad de seguridad en Quotery, infórmela a security@quotery.io. Acusaremos recibo dentro de las 48 horas y trabajaremos para priorizar y resolver el problema con prontitud. Le solicitamos que siga prácticas de divulgación responsable y nos conceda un tiempo razonable para abordar el problema antes de la divulgación pública. Actualmente no operamos un programa formal de bug bounty, pero reconoceremos y acreditaremos a los responsables de los informes en nuestras notas de versión.