Confianza y Seguridad

Cómo protegemos tus datos y los datos de tus clientes.

Cumplimiento

YKO Labs opera en línea con los principales estándares globales de privacidad y pagos. Nos enfocamos en lo que legalmente se requiere para servir a negocios de belleza, salones, barberías y cuidado personal en todo el mundo.

✅ Cumple con GDPR (Unión Europea)
✅ Cumple con UK GDPR
✅ Cumple con CCPA / CPRA (California)
✅ Cumple con PCI DSS SAQ A — los pagos son procesados por Polar, un Merchant of Record certificado con PCI DSS Nivel 1. Los sistemas de YKO Labs nunca almacenan, procesan ni transmiten datos de titulares de tarjetas.

Infraestructura

Construimos sobre proveedores de infraestructura que cuentan con sus propias certificaciones SOC 2 Type II e ISO/IEC 27001. Tus datos heredan la seguridad física, de red y operativa de estos proveedores.

DigitalOcean — Hosting de backend. SOC 2 Type II, ISO/IEC 27001
MongoDB Atlas — Base de datos (aislada por inquilino). SOC 2 Type II, ISO/IEC 27001, ISO 27018
Vercel — Hosting de frontend y red perimetral. SOC 2 Type II, ISO/IEC 27001
Cloudflare — CDN, protección contra DDoS, almacenamiento de imágenes. SOC 2 Type II, ISO/IEC 27001
Polar (Stripe) — Procesamiento de pagos (Merchant of Record). PCI DSS Level 1
Firebase / Google Cloud — Autenticación. SOC 2, ISO/IEC 27001, ISO 27018
Twilio — Mensajería SMS. SOC 2 Type II, ISO/IEC 27001
Meta WhatsApp Business — Mensajería WhatsApp. ISO/IEC 27001
Google Gemini — Generación de contenido con IA. SOC 2, ISO/IEC 27001
Datadog — Monitoreo y registros. SOC 2 Type II, ISO/IEC 27001

Nuestras prácticas de seguridad

Controles diarios implementados dentro de la plataforma YKO Labs:

🔐 TLS 1.3 en tránsito; cifrado en reposo a través de almacenamiento de base de datos administrado
🏢 Aislamiento de base de datos por inquilino — cada cliente tiene su propia base de datos MongoDB dedicada
🔑 Contraseñas con hash Bcrypt, autenticación dual JWT con tokens de corta duración, control de acceso basado en roles
📜 Registros de auditoría con retención de hasta 6 años, incluyendo IP, agente de usuario y diferencias de cambios a nivel de campo
🚦 Limitación de tasa en todos los endpoints (200 req / 15 min global, más estricto en autenticación)
🛡️ Encabezados Helmet + Content Security Policy, saneamiento de operadores de MongoDB, validación de entrada en cada solicitud
💾 Copias de seguridad automáticas diarias de la base de datos
📊 Real-time monitoring con Datadog APM y registro estructurado

Tus derechos de privacidad

Bajo GDPR, UK GDPR y CCPA/CPRA, tienes el derecho de acceder, corregir, exportar y borrar tus datos personales, así como el derecho a retirar el consentimiento. Para ejercer estos derechos, contáctanos en privacy@ykolabs.com y responderemos dentro de 30 días.

Residentes de California: no vendemos ni compartimos su información personal para publicidad conductual de contexto cruzado.

Sub-procesadores y DPA

Arriba se publica una lista completa y actual de sub-procesadores. Notificaremos a los clientes sobre adiciones o cambios sustanciales con al menos 30 días de antelación. Los clientes empresariales pueden solicitar un Acuerdo de Procesamiento de Datos (DPA) refrendado contactando a privacy@ykolabs.com.

Informar un problema de seguridad

Agradecemos la divulgación responsable de los investigadores de seguridad. Por favor, envía un correo electrónico a security@ykolabs.com con los pasos para reproducirlo. Respondemos dentro de 2 días hábiles y daremos crédito a los investigadores (con permiso) en esta página una vez que el problema se resuelva.

Last updated: 9 May 2026