Seguridad en Leadway
La confianza de tus
clientes, protegida.
Leadway corre sobre infraestructura en la que confían equipos Fortune 500, cifra cada byte en tránsito y en reposo, y está construido en torno a la LFPDPPP mexicana, el GDPR y la CCPA desde el primer día. No entrenamos IA con los datos de tus clientes, y nunca los vendemos.
Nuestra postura, de un vistazo
LFPDPPP
México — en cumplimiento
GDPR
UE — SCCs vigentes
CCPA / CPRA
Anexo de California
PCI DSS L1
Mediante Stripe
SOC 2 Type II
Proveedores subyacentes
Sin entrenar IA
Con datos de clientes
Construido sobre Amazon Web Services — la misma base en la nube que opera los productos SaaS más grandes del mundo.
Seis pilares
Cómo protegemos
tus datos.
La seguridad es por capas. Ningún control por sí solo protege todo, por eso invertimos en infraestructura, cifrado, identidad, monitoreo, privacidad y respuesta a incidentes.
Infraestructura
Alojado en Amazon Web Services (certificado SOC 2 Type II) con redundancia multirregión, respaldos cifrados y procedimientos de restauración probados.
Cifrado en todas partes
Todo el tráfico cifrado en tránsito con TLS 1.2+. Datos en reposo cifrados con AES-256. Respaldos de base de datos cifrados y rotados automáticamente.
Controles de acceso
Acceso basado en roles para cada cuenta de cliente, autenticación multifactor obligatoria para nuestro personal y acceso de ingeniería con privilegios mínimos revisado cada trimestre.
Monitoreo y detección
Registro de auditoría centralizado, detección de anomalías en autenticación y superficies de API, escaneo de vulnerabilidades y guardia 24/7 para alertas de alta severidad.
Privacidad por diseño
No entrenamos modelos de IA con los datos de tus clientes. No los vendemos ni compartimos con fines publicitarios. Opción de residencia de datos en México disponible para clientes Enterprise.
Respuesta a incidentes
Runbooks documentados, escalamiento de guardia y notificación al Cliente dentro de las 72 horas tras una Violación de Seguridad confirmada, con revisiones posteriores al incidente compartidas a solicitud.
Cumplimiento
Marcos con los que
nos alineamos.
Somos transparentes sobre qué hemos certificado, con qué nos alineamos y dónde nos apoyamos en nuestros proveedores. Sin rodeos.
LFPDPPP
México
En cumplimientoActualizado a la reforma de marzo de 2025. Autoridad supervisora: Secretaría Anticorrupción y Buen Gobierno.
GDPR
Espacio Económico Europeo y Reino Unido
AlineadoCláusulas Contractuales Tipo (SCC) para transferencias; las obligaciones del encargado del Artículo 28 quedan cubiertas por nuestro DPA.
CCPA / CPRA
California, EE. UU.
AlineadoAnexo dedicado en el Aviso de Privacidad. No vendemos ni compartimos información personal para publicidad de contexto cruzado.
PCI DSS Level 1
Global
Mediante StripeLos pagos con tarjeta son procesados por Stripe. Leadway nunca recibe datos de tarjeta en bruto — solo identificadores tokenizados.
SOC 2 Type II
Global
Infra subyacenteAmazon Web Services cuenta con una atestación SOC 2 Type II vigente que respalda nuestra capa de hosting. El SOC 2 a nivel de Leadway está en el roadmap.
HIPAA
EE. UU. — salud
Opción EnterpriseBAAs e implementaciones compatibles con HIPAA disponibles a solicitud para clientes de salud que califiquen.
Sub-encargados
Proveedores de confianza,
nombrados por escrito.
Cada proveedor que toca Datos Personales del Cliente está sujeto a un acuerdo de procesamiento por escrito y aparece listado en nuestro DPA. Te notificamos con 30 días de anticipación cualquier cambio para que puedas objetar antes de que surta efecto.
Ver la lista completa en nuestro DPAAWS
Infraestructura
Stripe
Pagos
Meta · WhatsApp
Mensajería
Twilio
SMS / voz
ElevenLabs
IA de voz
OpenAI
LLM
Ubicaciones: principalmente EE. UU., con regiones de la UE usadas donde sea compatible. Las transferencias internacionales están cubiertas por el Artículo 37 de la LFPDPPP y las Cláusulas Contractuales Tipo de la UE donde aplique.
Responsabilidad compartida
Una parte es nuestra.
Otra parte es tuya.
El SaaS en la nube es un modelo compartido. Nosotros aseguramos la plataforma; tú aseguras cómo la usa tu equipo.
Leadway es responsable de
- Seguridad, endurecimiento y parcheo de la plataforma
- Cifrado, gestión de claves y respaldos
- Debida diligencia de sub-encargados y DPAs
- Respuesta a incidentes y notificación de violaciones
- Programa de cumplimiento y cooperación en auditorías
Tú eres responsable de
- Contraseñas robustas y MFA para tus usuarios
- Permisos de usuario, baja de accesos y revisiones de acceso
- Base legal y consentimiento de opt-in para la mensajería
- Cumplimiento con TCPA, CAN-SPAM, REPEP y reglas similares
- Reportar actividad sospechosa a security@leadwaycrm.com
¿Encontraste una vulnerabilidad?
Damos la bienvenida a los reportes de la comunidad de investigación en seguridad. La investigación de buena fe, realizada bajo nuestra política de Divulgación Responsable, está protegida de acciones legales por parte de Leadway.
- Acuse de recibo: dentro de 24 horas
- Respuesta inicial: dentro de 7 días hábiles
- Divulgación: coordinada con quien reporta después de desplegar la corrección
Contacto de seguridad
security@leadwaycrm.comIncluye pasos detallados para reproducirlo, el impacto que observaste y cualquier material de prueba de concepto. Cifra los detalles sensibles con nuestra clave PGP si es necesario (disponible a solicitud).