Política de Privacidad y Seguridad
Última actualización: 19 de marzo de 2026
1. Información General
Paperclip OS ("nosotros", "la Plataforma") es un sistema operativo de trabajo (Work OS) diseñado para agencias creativas y empresas de servicios profesionales, desarrollado por Paperclip Software.
Esta Política de Privacidad y Seguridad describe cómo recopilamos, procesamos, almacenamos y protegemos la información de nuestros usuarios en un contexto exclusivamente B2B (Business-to-Business). Al crear una cuenta en Paperclip OS, aceptas las prácticas descritas en este documento.
2. Datos que Recopilamos
Solo recopilamos los datos estrictamente necesarios para operar la Plataforma:
Datos de Cuenta
Nombre completo, correo electrónico, contraseña (cifrada unidireccionalmente con bcrypt), foto de perfil. Si inicias sesión con Google OAuth, recibimos tu nombre, correo y foto de perfil.
Datos de Organización
Nombre de la empresa, NIT/ID fiscal, teléfono, correo de contacto, logotipo, moneda principal, términos predeterminados para cotizaciones y facturas.
Datos Operativos
Proyectos, tareas, cotizaciones, facturas, gastos, ingresos, proveedores, clientes (CRM) y archivos que el usuario crea dentro de la Plataforma. Estos datos son propiedad del usuario.
Datos Técnicos y Telemetría
Dirección IP, tipo de navegador, sistema operativo, registros de actividad (logs). Estos datos se recopilan con el fin exclusivo de mantener la seguridad del sistema, mitigar riesgos y prevenir abusos, conforme a las directrices del Marco de Privacidad del NIST.
3. Aislamiento de Datos (Multi-tenancy Estricto)
Paperclip OS opera bajo una arquitectura de multi-tenancy estricto. Cada organización tiene sus datos completamente aislados mediante un filtro obligatorio en la base de datos (organization_id), lo que garantiza matemáticamente que un usuario de una organización jamás podrá acceder a los datos de otra.
✓ Row-Level Security (RLS): Políticas de seguridad a nivel de fila en PostgreSQL garantizan el aislamiento en la capa de base de datos, no solo en la capa visual.
✓ Privacidad financiera interna: Roles no autorizados (como Miembros) no pueden acceder a información sensible como ingresos, gastos o márgenes de rentabilidad dentro de su propia organización.
✓ Denegación por defecto: Todas las tablas operan bajo una política "Deny by Default" — si no existe una política RLS explícita que permita el acceso, el acceso es denegado.
4. Infraestructura y Seguridad de Grado Empresarial
Los datos de los usuarios se almacenan utilizando Supabase, operando sobre infraestructura de PostgreSQL alojada en Amazon Web Services (AWS).
Cifrado en Tránsito
TLS/HTTPS obligatorio en todas las comunicaciones entre el cliente y los servidores.
Cifrado en Reposo
Estándar AES-256 para toda la información almacenada en la base de datos.
Autenticación Segura
Tokens JWT, soporte para MFA (TOTP), y sesiones con refresh tokens automáticos.
Rate Limiting
Protección contra ataques de fuerza bruta y abuso del sistema mediante limitación de solicitudes.
5. Protección de Archivos y Documentos
Los documentos subidos a los módulos de proyectos o proveedores se almacenan en contenedores privados (buckets) y no son accesibles públicamente.
El acceso a archivos se otorga mediante URLs firmadas temporalmente (Signed URLs) que caducan en un lapso de 1 hora, evitando la exposición pública de contratos, certificaciones u otros documentos sensibles.
6. Servicios de Terceros
No vendemos, alquilamos ni compartimos datos personales con terceros para fines de marketing. Los únicos servicios de terceros que procesan datos son:
Supabase (AWS)
Alojamiento de datos, autenticación y almacenamiento de archivos.
Google OAuth
Autenticación con cuenta de Google (solo si el usuario lo elige). No almacenamos contraseñas de Google.
Stripe
Procesamiento de pagos y suscripciones. Nosotros NO almacenamos números de tarjeta ni datos bancarios — Stripe los procesa directamente bajo PCI-DSS Level 1.
Resend
Envío de correos transaccionales (bienvenida, invitaciones, alertas de seguridad).
Netlify
Hospedaje de la aplicación frontend.
7. Asistente de Inteligencia Artificial ("Clip")
El asistente de IA "Clip" tiene acceso de lectura y escritura a los datos de la organización para ejecutar comandos por lenguaje natural (como crear proyectos, generar facturas o consultar finanzas).
⚠ Compromiso de Aislamiento
Los datos de una organización nunca se comparten, cruzan ni mezclan con los de otra organización para entrenar modelos de IA de terceros ni para ningún otro propósito. El asistente opera exclusivamente dentro del contexto de la organización activa del usuario.
8. Bitácora de Auditoría Inmutable
Paperclip OS mantiene una bitácora de auditoría (activity_log) que registra "quién hizo qué y cuándo" dentro de cada organización.
Esta bitácora es completamente inmutable: las políticas de seguridad de la base de datos solo permiten insertar nuevos registros (INSERT) y prohíben terminantemente actualizarlos (UPDATE) o eliminarlos (DELETE). Esto protege la cadena de custodia de eventos en caso de disputas legales o peritajes informáticos.
9. Política de Cookies
Paperclip OS utiliza exclusivamente cookies estrictamente necesarias para el funcionamiento del servicio:
Cookies de Sesión y Autenticación
Utilizamos cookies seguras con los atributos Secure y SameSite=Lax a través de @supabase/ssr para manejar la autenticación y mantener las sesiones activas mediante refresh tokens automáticos.
✓ Lo que NO hacemos
No utilizamos cookies de seguimiento, cookies publicitarias, cookies de analítica de terceros, ni vendemos datos a anunciantes. No existe ningún rastreo de comportamiento con fines comerciales.
10. Tus Derechos
Como usuario de Paperclip OS, tienes derecho a:
11. Retención de Datos
Conservamos tus datos mientras tu cuenta esté activa. Si el rol Owner de una organización solicita la eliminación de la organización y su cuenta, eliminaremos todos los datos operativos en un plazo máximo de 30 días, salvo aquellos que estemos obligados a conservar por ley (como registros de auditoría que puedan ser requeridos en procesos legales).
12. Cambios a esta Política
Nos reservamos el derecho de actualizar esta política. Cualquier cambio significativo será notificado a través de la Plataforma o por correo electrónico con al menos 15 días de anticipación. La fecha de última actualización se refleja al inicio de este documento.
13. Contacto
Para consultas sobre privacidad, seguridad o manejo de datos: