Confianza y Seguridad

Cómo protegemos sus datos y los datos de sus clientes.


Cumplimiento

YKO Labs opera en línea con los principales estándares globales de privacidad y pagos. Nos enfocamos en lo que legalmente se requiere para servir a negocios de belleza, salones, barberías y cuidado personal en todo el mundo.

✅ Cumple con el RGPD (Unión Europea)
✅ Cumple con el RGPD del Reino Unido
✅ Cumple con la CCPA / CPRA (California)
✅ Cumple con PCI DSS SAQ A — los pagos son procesados por Polar, un Comerciante de Registro certificado con PCI DSS Nivel 1. Los sistemas de YKO Labs nunca almacenan, procesan ni transmiten datos de titulares de tarjetas.

Infraestructura

Construimos sobre proveedores de infraestructura que cuentan con sus propias certificaciones SOC 2 Tipo II e ISO/IEC 27001. Sus datos heredan la seguridad física, de red y operativa de estos proveedores.

DigitalOcean — Alojamiento de backend. SOC 2 Type II, ISO/IEC 27001
MongoDB Atlas — Base de datos (aislada por inquilino). SOC 2 Type II, ISO/IEC 27001, ISO 27018
Vercel — Alojamiento de frontend y red perimetral. SOC 2 Type II, ISO/IEC 27001
Cloudflare — CDN, protección contra DDoS, almacenamiento de imágenes. SOC 2 Type II, ISO/IEC 27001
Polar (Stripe) — Procesamiento de pagos (Comerciante de Registro). PCI DSS Level 1
Firebase / Google Cloud — Autenticación. SOC 2, ISO/IEC 27001, ISO 27018
Twilio — Mensajería SMS. SOC 2 Type II, ISO/IEC 27001
Meta WhatsApp Business — Mensajería WhatsApp. ISO/IEC 27001
Google Gemini — Generación de contenido con IA. SOC 2, ISO/IEC 27001
Datadog — Monitoreo y registros. SOC 2 Type II, ISO/IEC 27001

Nuestras prácticas de seguridad

Controles diarios implementados dentro de la plataforma YKO Labs:

🔐 TLS 1.3 en tránsito; cifrado en reposo a través de almacenamiento de base de datos administrado
🏢 Aislamiento de base de datos por inquilino — cada cliente tiene su propia base de datos MongoDB dedicada
🔑 Contraseñas con hash Bcrypt, autenticación dual JWT con tokens de corta duración, control de acceso basado en roles
📜 Registros de auditoría con retención de hasta 6 años, incluyendo IP, agente de usuario y diferencias de cambios a nivel de campo
🚦 Limitación de tasa en todos los endpoints (200 solicitudes / 15 min global, más estricto en autenticación)
🛡️ Encabezados Helmet + Política de Seguridad de Contenido, saneamiento de operadores de MongoDB, validación de entrada en cada solicitud
💾 Copias de seguridad automáticas diarias de la base de datos
📊 Monitoreo en tiempo real con Datadog APM y registro estructurado

Sus derechos de privacidad

Bajo el RGPD, el RGPD del Reino Unido y la CCPA/CPRA, usted tiene el derecho de acceder, corregir, exportar y borrar sus datos personales, así como el derecho a retirar el consentimiento. Para ejercer estos derechos, contáctenos en privacy@ykolabs.com y responderemos dentro de 30 días.

Residentes de California: no vendemos ni compartimos su información personal para publicidad conductual de contexto cruzado.

Subencargados del tratamiento y DPA

Arriba se publica una lista completa y actual de subencargados del tratamiento. Notificaremos a los clientes sobre adiciones o cambios sustanciales con al menos 30 días de antelación. Los clientes empresariales pueden solicitar un Acuerdo de Procesamiento de Datos (DPA) refrendado contactando a privacy@ykolabs.com.

Informar un problema de seguridad

Agradecemos la divulgación responsable de los investigadores de seguridad. Por favor, envíe un correo electrónico a security@ykolabs.com con los pasos para reproducirlo. Respondemos dentro de 2 días hábiles y daremos crédito a los investigadores (con permiso) en esta página una vez que el problema se resuelva.

Last updated: 1 July 2026