Legal

Seguridad en Brisa CRM

Última actualización: 14 de abril de 2026

La seguridad de tus datos comerciales y los de tus clientes es prioridad. Esta es la arquitectura y los controles que aplicamos.

Infraestructura

  • Hospedaje: Vercel (frontend) y Supabase (base de datos, auth, storage) — ambos con centros de datos de nivel enterprise.
  • Región: AWS US-East con replicación automática.
  • Cifrado en tránsito: TLS 1.2+ en todas las conexiones (HTTPS).
  • Cifrado en reposo: AES-256 para base de datos y almacenamiento de archivos.

Aislamiento multi-tenant

Cada organización vive en su propio espacio lógico. Usamos Row Level Security (RLS) de PostgreSQL: las consultas a la base de datos solo pueden ver filas que pertenecen a la organización del usuario autenticado. No hay forma, ni siquiera por error de aplicación, de que un tenant acceda a datos de otro.

Autenticación y acceso

  • Autenticación vía Supabase Auth con hashing bcrypt de contraseñas.
  • Tokens JWT firmados con expiración corta y refresco seguro.
  • Control de roles internos: admin, sales manager y sales rep con permisos granulares.
  • Recuperación de contraseña con tokens de un solo uso, vigencia de 1 hora.

WhatsApp Cloud API

Usamos la WhatsApp Cloud API oficial de Meta. No escrapeamos ni usamos integraciones no oficiales. Los números conectados deben cumplir las políticas de Meta; si detectamos comportamiento que pueda llevar a ban (spam, mensajes no consentidos), desactivamos el canal.

Procesamiento de IA

  • Groq Whisper para transcripción de audios.
  • OpenAI GPT-4o para extracción de datos estructurados y procesamiento de imágenes.
  • Los proveedores no entrenan modelos con tus datos (opt-out comercial firmado).

Retención y eliminación de media

Los archivos de WhatsApp se eliminan automáticamente según tu plan:

  • Free: 30 días.
  • Pro: 90 días.
  • Team: 365 días.

Los datos estructurados (leads, contactos, actividades) se conservan mientras tu cuenta esté activa.

Respaldos

  • Respaldos automáticos diarios de PostgreSQL con retención de 7 días.
  • Point-in-Time Recovery disponible para planes Team.

Monitoreo y logs

  • Logs de acceso y actividad crítica (cambios de plan, invitaciones, exportaciones).
  • Alertas automáticas por patrones inusuales de uso o error.
  • Auditoría de cambios en configuración de la organización.

Pagos

Procesados 100% por Stripe, certificado PCI DSS Nivel 1. No almacenamos ni tenemos acceso a los datos de tu tarjeta.

Reporte de vulnerabilidades

Si encontraste una vulnerabilidad, repórtala responsablemente a soporte@heybrisa.com con el asunto "[Security]". Respondemos en menos de 48 horas hábiles y reconocemos públicamente a quienes contribuyan (con autorización).

Cumplimiento legal

  • LFPDPPP (México): cumplimos obligaciones del responsable conforme a la ley.
  • Políticas de WhatsApp Business: operamos bajo Meta Cloud API.

Continuidad y cancelación

Puedes exportar tus datos en CSV en cualquier momento desde Ajustes. Al cancelar tu cuenta eliminamos tus datos en un máximo de 90 días.