¿Busca los detalles técnicos — flujos, cifrado, trabajos de retención?
Esta página cubre estándares. La página compañera cubre cómo se mueven los datos: flujo de llamadas, cifrado, trabajos de retención, scripts de eliminación, subprocesadores.
Estándares y Certificaciones
Cumplimiento de un vistazo.
La versión honesta. Un resumen claro de con qué cumplimos directamente, lo que heredamos de nuestros socios de infraestructura y —quizás lo más importante— lo que no afirmamos. Sin muros de palomitas verdes. Si una regulación no está en la lista, no pretendemos cumplirla.
1. Estándares con los que cumplimos directamente iHospitality Inc. como responsable
Leyes canadienses del sector privado que aplican a iHospitality Inc. como recopilador y procesador de información personal. Estamos directamente regulados por estas y hablamos de cumplimiento en nuestro propio nombre.
| Estándar | Alcance | Cómo lo cumplimos |
|---|---|---|
| PIPEDA | Ley federal canadiense de privacidad — toda la información personal que recopilamos | Mapeo principio por principio en nuestra Política de Privacidad; acceso/corrección/eliminación/retiro de consentimiento verificado a través de nuestro formulario de solicitud; plazo de respuesta de 30 días |
| Reglamentos BSBS de PIPEDA | Obligaciones de notificación de violaciones | Registro interno de violaciones; proceso documentado de notificación al Comisionado de Privacidad |
| Ley 25 (Quebec) | Ley sobre la protección de la información personal en el sector privado — residentes de Quebec | Aviso de consentimiento bilingüe (EN/FR) al inicio de cada llamada; Oficial de Privacidad designado; manejo reforzado del consentimiento para menores de 14 años; plazo de 30 días |
| CASL | Ley canadiense antispam — mensajes electrónicos comerciales salientes | Captura de consentimiento en el punto de contacto (voz + chat + formulario); manejador STOP en cada SMS saliente; texto de consentimiento versionado por llamada |
2. Salvaguardas técnicas solo resumen — detalles en la Guía de manejo
Lo que ejecutamos en nuestra propia infraestructura. Resumen de una línea; la Guía de manejo de datos cubre los detalles de implementación.
- TLS 1.2+ en tránsito, AES-256 en reposo
- Infraestructura principal canadiense (VPS en Canadá; Twilio enrutado vía puntos de presencia canadienses)
- Aislamiento lógico por inquilino — el acceso entre inquilinos no es una ruta de código que exista
- Eliminación con registro de auditoría — programada, con marca de tiempo, con identidad del operador, con modo dry-run
- Registro de auditoría de consentimiento por llamada — el texto de consentimiento exacto vigente se almacena con el registro
- Aplicación automatizada de retención — trabajos semanales para purgar transcripciones, anonimizar metadatos, eliminar grabaciones
3. Certificaciones heredadas de nuestros procesadores nos apoyamos en ellas, no son nuestras
No poseemos estas certificaciones — nuestros procesadores sí las poseen, para las partes de la pila que ellos operan. El marketing debe decir "construido sobre infraestructura SOC 2 Type II", no "certificado SOC 2".
| Proveedor | Rol | Su certificación |
|---|---|---|
| Twilio | Enrutamiento de llamadas y telefonía | SOC 2 Type II · ISO 27001 · PdP canadienses |
| Airtable | Almacenamiento de datos comerciales | SOC 2 Type II · AES-256 en reposo |
| Stripe | Pagos y suscripciones | PCI-DSS Nivel 1 |
| Hostinger | Hosting VPS y correo transaccional | ISO 27001 |
| Anthropic | Modelo de IA Claude | API de retención cero · sin entrenamiento en entradas |
4. Lo que no afirmamos la honestidad vale más que una pared de palomitas verdes
Si un estándar está en esta lista, no nos crea —no hemos hecho el trabajo. Si lo necesita para un contrato, pregunte.
| Estándar | Estado | Por qué no |
|---|---|---|
| SOC 2 Type II ✗ (nuestra propia auditoría) |
No poseída | Nuestros socios de infraestructura poseen SOC 2 Type II. No tenemos una auditoría independiente de los controles propios de iHospitality Inc. Útil a escala empresarial; no económico a escala PyME. |
| ISO 27001 ✗ (la nuestra) |
No poseída | Mismo razonamiento — el hosting de Hostinger es ISO 27001, nuestras operaciones no están certificadas independientemente. |
| HIPAA ✗ | No aplicable | HIPAA es ley estadounidense. Servimos a empresas canadienses bajo PIPEDA y Ley 25 de Quebec. No aceptamos PHI estadounidense y no nos comercializamos como compatibles con HIPAA. |
| PHIPA — (de apoyo, no regulado directamente) |
Responsabilidad compartida | La Ley de Protección de Información Personal de Salud de Ontario regula a los "custodios de información de salud" (clínicas, médicos, laboratorios). Una clínica que nos usa es el custodio; actuamos como su agente. |
| GDPR ✗ | No dirigido a la UE | No nos comercializamos a residentes de la UE. Si una persona basada en la UE se registra, podríamos tener que limitar el servicio — contáctenos vía el formulario. |
| CCPA / CPRA ✗ | No servimos a californianos | Nos dirigimos a empresas canadienses y sus clientes canadienses. Las solicitudes de derechos del consumidor de California no son soportadas. |
¿Por qué detallar lo que no tenemos?
Porque una "pared de palomitas verdes" de acrónimos a menudo oculta más de lo que revela. Si una afirmación es importante para su decisión de compra —por ejemplo, necesita SOC 2 para pasarnos por la revisión de proveedores— preferimos que lo sepa ahora. Para necesidades de cumplimiento específicas, envíe una pregunta vía el formulario.
5. Con qué frecuencia revisamos esto
Las afirmaciones de cumplimiento se desvían. Nuestra cadencia:
- Cada 6 meses: revisión completa — todas las afirmaciones reverificadas, certificaciones expiradas retiradas, nuevas agregadas
- Con cualquier cambio material: nuevo procesador, nueva categoría de datos, cambio arquitectónico mayor — actualización inmediata
- Registro público: la fecha "Última revisión" es la fuente de verdad; si tiene más de 9 meses, escale