Seguridad
Supera guarda registros sensibles de empleados, así que la seguridad no es una función — es la base. Aquí está cómo protegemos tus datos, en términos sencillos.
La versión corta: tus datos se cifran en tránsito y en reposo, cada empresa está aislada con su propia clave de cifrado, los administradores entran con autenticación de varios factores, cada acción sensible queda en un registro a prueba de manipulaciones, y cuando se eliminan datos se destruyen de verdad. Supera está construida según los estándares de control SOC 2 e ISO 27001, sobre una infraestructura que a su vez está certificada en SOC 2 e ISO 27001.
Cifrado
Todo el tráfico hacia y desde Supera está protegido con TLS en tránsito. Tus datos almacenados se cifran en reposo con AES-256. Los datos de cada empresa se cifran con su propia clave, de modo que los registros de una empresa quedan criptográficamente separados de los de cualquier otra.
Aislamiento por empresa
Los datos de cada cliente viven en su propio espacio aislado con una clave de cifrado dedicada. No hay un depósito compartido donde una empresa pudiera alcanzar la información de otra. Este aislamiento también es lo que hace posible nuestra garantía de eliminación (abajo).
Inicio de sesión y acceso
Los administradores entran con autenticación de varios factores (MFA). Los empleados usan un inicio de sesión sin contraseña — una cuenta de Google o Apple, un enlace de un toque por correo, o un código de un solo uso — así no hay contraseñas de empleados que se puedan filtrar. El acceso es basado en roles: los administradores ven su empresa, los gerentes ven solo a las personas a su cargo, y los empleados se ven solo a sí mismos.
Registro de auditoría a prueba de manipulaciones
Las acciones sensibles se registran en un registro encadenado por hash — un historial continuo diseñado para que cualquier manipulación posterior sea detectable. Te da un historial confiable de qué pasó y cuándo.
Eliminación permanente y cifrado-destrucción
Eliminar a un empleado individual borra permanentemente sus registros de tu cuenta — no guardamos una copia oculta para nuestro uso, y la clave de cifrado de tu empresa no se toca, así que los datos de los demás no se ven afectados.
Cerrar tu cuenta entera va más allá: como tu empresa tiene su propia clave de cifrado, destruimos esa clave — "cifrado-destrucción" — lo que vuelve todos los datos de tu empresa, incluidos los respaldos, permanentemente ilegibles. En ambos casos, puedes exportar tus datos primero, y la eliminación es real, no solo se oculta.
Tus datos no se usan para entrenar la IA
Supera usa la API empresarial de Anthropic para redactar y traducir evaluaciones. Por defecto, Anthropic no usa los datos de la API empresarial para entrenar sus modelos, y esos datos son de corta duración — bajo un acuerdo firmado de tratamiento de datos. Las evaluaciones de tu equipo te sirven a ti; no alimentan la IA de nadie.
La retroalimentación anónima sigue siendo anónima
Para la retroalimentación 360° anónima, nunca guardamos quién escribió qué. El anonimato es estructural, no una opción — así que se mantiene frente a todos, incluidos los administradores. Los resultados solo se muestran cuando han respondido suficientes personas.
Estándares e infraestructura
Supera funciona sobre una infraestructura que está certificada de forma independiente en SOC 2 e ISO 27001 (nuestros proveedores), y nuestras propias prácticas están construidas según los marcos de control SOC 2 e ISO 27001.
Para ser claros: Supera en sí aún no está certificada en SOC 2 ni ISO 27001 — eso requiere una auditoría independiente que no hemos completado. Decimos "construida según" los marcos, no "certificada". A medida que crezcamos, tenemos la intención de realizar una prueba de penetración independiente y un informe SOC 2 formal; hasta entonces no afirmaremos ninguno. Preferimos decirte exactamente qué hacemos (arriba) que exhibir un sello que no hemos ganado.
Nuestro rol: tu encargado del tratamiento
Cuando tu empresa usa Supera, tú decides qué información de empleados se ingresa y por qué — eres el "responsable del tratamiento". Supera es tu encargado del tratamiento: manejamos esa información solo para operar el Servicio para ti, según tus instrucciones. En términos sencillos:
- No usamos los datos de tus empleados para nuestros propios fines, y nunca los vendemos.
- Los mantenemos cifrados y aislados a tu empresa (ver arriba).
- Usamos una lista corta de subencargados verificados bajo DPA firmados (abajo).
- Te ayudamos a responder solicitudes de datos de empleados — acceso, corrección, eliminación.
- Si una filtración de datos afectara tus datos, te notificaríamos con prontitud para que cumplas tus obligaciones.
- Cuando te vas, puedes exportar tus datos, y los eliminamos (ver arriba).
Este es un resumen en lenguaje sencillo de cómo trabajamos — no es un contrato. Los detalles se rigen por nuestra Política de Privacidad y, para clientes empresariales, un Acuerdo de Tratamiento de Datos (DPA) disponible en [email protected].
Con quién compartimos datos (subencargados)
Para operar Supera dependemos de un pequeño conjunto de proveedores verificados, cada uno bajo un Acuerdo de Tratamiento de Datos (DPA) firmado que limita cómo pueden usar tus datos:
- Cloudflare — alojamiento, almacenamiento y red (certificado SOC 2 / ISO 27001).
- Google Cloud (Cloud KMS) — gestión de las claves de cifrado.
- WorkOS — inicio de sesión y autenticación de varios factores.
- Anthropic — redacción y traducción con IA (API empresarial; no se usa para entrenar modelos).
- Stripe — facturación de suscripciones (nunca vemos los números de tarjeta completos).
- Twilio y Meta (WhatsApp) — entrega de mensajes de texto y WhatsApp.
- Resend — entrega de correo electrónico.
Si tu empresa activa una integración opcional con Slack o Microsoft Teams, esa plataforma también se convierte en subencargado — solo para tu empresa y solo para entregar esas notificaciones. Nunca vendemos tus datos. Un DPA firmado y nuestra lista actual de subencargados están disponibles a solicitud en [email protected].
Reportar una inquietud
Si crees que encontraste un problema de seguridad, escribe a [email protected] y responderemos pronto. También puedes ver el estado actual del servicio en nuestra página de estado.