Reunir CRM, contabilidad, RR. HH. y soporte en una sola plataforma plantea preguntas reales. A continuación te explicamos cómo las respondemos: por diseño, por arquitectura y de forma predeterminada. Correo electrónico [email protected] si nada de lo siguiente es suficiente.
Nada de teatro de insignias. Esta es la arquitectura que protege tus datos, verificable en cómo se construye y se opera la plataforma, no en un certificado enmarcado.
La mayoría de las plataformas meten a todos tus clientes en una única base de datos compartida y te separan con un account_id columna. Mewayz no. Cada inquilino obtiene su propia base de datos y entorno, y cada socio de marca blanca obtiene su propia caja totalmente aislada.
Tus registros viven en una base de datos provisionada únicamente para tu espacio de trabajo, no en una tabla compartida separada por un filtro. Sin problemas de rendimiento por vecinos ruidosos, sin superficie de consultas entre inquilinos, sin “una mala WHERE el riesgo de que «una cláusula lo filtre todo a todos».
Cada socio de marca blanca se aprovisiona con su propio usuario de Linux, base de datos y espacio de archivos, de forma automática y en unos dos minutos. Los clientes, archivos y datos de un socio permanecen dentro de su propio entorno. Nada se mezcla.
Mewayz ejecuta una instancia de la aplicación, base de datos y entorno independientes en cada región. Tus datos se crean y permanecen en la región que elijas al registrarte —UE, EE. UU. o APAC—, por lo que la residencia de datos y la baja latencia vienen de serie, no como un extra.
Estas son las reglas con las que diseña nuestro equipo de seguridad. No son aspiracionales: son las barreras que una función debe superar antes de lanzarse.
We don't sell aggregated insights. We don't train ML models on your records. We don't read inbound emails to product-market. Your data is the product we host, not a feedstock.
Un solo clic en Configuración exporta todo en formatos estándar. Facilitamos la salida a propósito. El mejor cliente es el que sabe que puede irse y elige quedarse.
AES-256 en reposo. TLS 1.3 en tránsito. Gestión de claves mediante AWS KMS con opción de clave gestionada por el cliente en el plan Agency. Sin niveles del tipo «ciframos solo a los clientes premium».
Los empleados acceden a los datos de clientes solo bajo auditoría, solo cuando un cliente ha abierto un ticket de soporte pidiéndoselo y solo para los registros a los que se refiere el ticket. Cada acceso queda registrado de forma indefinida.
Pick EU, US, or APAC region at signup. Data stays in-region by default. Cross-region replication is opt-in, with explicit consent in the DPA.
Si tenemos un incidente de seguridad que afecta los datos de los clientes, notificamos a los clientes afectados dentro de las 72 horas posteriores a confirmar el impacto. Sin excepciones, sin ventanas de demora aprobadas por relaciones públicas.
Elígelo al registrarte. No se puede cambiar una vez cargados los datos sin una migración planificada. Los subencargados del tratamiento por región se enumeran en el portal de confianza.
| Región | AZ principales | Organizado por | Copias de seguridad | Subencargados del tratamiento |
|---|---|---|---|---|
| UE | Frankfurt · Dublín · Estocolmo | AWS eu-central-1, eu-west-1, eu-north-1 | En la región · 35 días | Solo UE |
| EE. UU. | Virginia · Oregón · Ohio | AWS us-east-1, us-west-2, us-east-2 | En la región · 35 días | Solo EE. UU. |
| APAC | Singapur · Tokio · Bombay | AWS ap-southeast-1, ap-northeast-1, ap-south-1 | En la región · 35 días | Regional |
SLA de disponibilidad del 99,95 % en Business y del 99,99 % en Agency. Despliegues multi-AZ con conmutación por error automática. Manuales de recuperación ante desastres probados y ejecutados trimestralmente. Página de estado pública en status.mewayz.com.
Recuperación a un instante exacto de cualquier momento de los últimos 35 días. Instantáneas cada hora durante los últimos 7 días. Restauración probada mensualmente. RTO de 4 horas; RPO de 15 minutos.
SSO mediante SAML 2.0 / OIDC en Business y superiores. Aprovisionamiento SCIM en Agency. MFA obligatorio para todas las cuentas de administrador. Acceso basado en roles con 14 roles predeterminados más un generador de roles personalizados.
Cada acción en la plataforma queda registrada en un historial de auditoría inmutable. Se conserva durante 7 años. Transmisible a Splunk / Datadog / Elastic mediante integración. Con alertas de actividad sospechosa integradas.
Revisión de seguridad anual de cada subprocesador. Proveedores de nivel 1 (AWS, Stripe, Twilio) bajo contrato directo. Lista de nivel 2 publicada; aviso de 30 días antes de añadir nuevos.
Pruebas de penetración externas dos veces al año. Equipo rojo interno cada trimestre. Programa de recompensas por errores con HackerOne, con recompensas desde $250 (bajo) hasta $10,000 (crítico). Alcance publicado, sin necesidad de acuerdos de confidencialidad.
Sobre una infraestructura que operamos nosotros mismos: nuestra propia base de datos y servidor de correo funcionando en AWS EC2 detrás de Cloudflare. No se delega en una cadena de proveedores SaaS de terceros. Eso es lo que significa «stack autoalojado»: tus datos esenciales permanecen dentro del régimen que controlamos. Hay dos excepciones, ambas bajo tu control: los datos de las tarjetas los gestiona Stripe (PCI DSS Nivel 1), por lo que nunca almacenamos números de tarjeta sin cifrar, y las funciones de IA llaman a OpenAI, Anthropic o Google usando tu propia clave de API, que puedes configurar o desactivar.
Sí. Contamos con un DPA estándar que la mayoría de los equipos de compras aceptan tal cual. Los DPA personalizados los revisa el departamento jurídico, normalmente aprobados en un plazo de 5 días hábiles.
En la región que selecciones al registrarte. Los datos de la región de la UE se quedan en la UE. Los de EE. UU. en EE. UU. Los de APAC en APAC. Sin replicación silenciosa entre regiones.
Por defecto, no. El acceso requiere un ticket de soporte iniciado por el cliente y la concesión explícita de un rol. Cada acceso queda registrado y disponible para ti cuando lo solicites.
Notificación a los clientes afectados en un plazo de 72 horas. Informe público del incidente tras la remediación. No programamos las divulgaciones en función de los ciclos de prensa.
Cancela tu cuenta en Configuración → Cuenta. Después de 30 días, los datos se eliminan de producción. Las copias de seguridad caducan a los 35 días. Los registros de auditoría conservan los metadatos de la cuenta durante 7 años (requisito legal); los datos de contenido se eliminan.
No. Los datos de los clientes nunca se utilizan para entrenar modelos. Las funciones de IA usan los datos de los clientes únicamente para la solicitud inmediata (por ejemplo, redactar un correo para este cliente) y el proveedor del modelo no conserva la solicitud.
Correo electrónico [email protected] con los detalles y los pasos para reproducirlo. Respondemos en un plazo de 1 día hábil para los informes críticos y coordinamos una divulgación responsable.
Publicamos un portal de confianza con cada informe, subencargado del tratamiento y política. Escribe a [email protected] para obtener la versión más reciente.