Política de Privacidad y Seguridad
Última actualización: 11 de junio de 2026
1. Información General
Paperclip Work OS ("nosotros", "la Plataforma"), operado por Paperclip Software, es un sistema operativo de trabajo (Work OS) diseñado para agencias creativas y empresas de servicios profesionales.
Esta Política de Privacidad y Seguridad describe cómo recopilamos, procesamos, almacenamos y protegemos la información de nuestros usuarios en un contexto exclusivamente B2B (Business-to-Business). Al crear una cuenta en Paperclip Work OS, aceptas las prácticas descritas en este documento.
2. Datos que Recopilamos
Solo recopilamos los datos estrictamente necesarios para operar la Plataforma:
Datos de Cuenta
Nombre completo, correo electrónico, contraseña (cifrada unidireccionalmente mediante hashing adaptativo), foto de perfil. Si inicias sesión con Google OAuth, recibimos tu nombre, correo y foto de perfil.
Datos de Organización
Nombre de la empresa, NIT/ID fiscal, teléfono, correo de contacto, logotipo, moneda principal, términos predeterminados para cotizaciones y facturas.
Datos Operativos
Proyectos, tareas, cotizaciones, facturas, gastos, ingresos, proveedores, clientes (CRM) y archivos que el usuario crea dentro de la Plataforma. Estos datos son propiedad del usuario.
Datos Técnicos y Telemetría
Dirección IP, tipo de navegador, sistema operativo, registros de actividad (logs). Estos datos se recopilan con el fin exclusivo de mantener la seguridad del sistema, mitigar riesgos y prevenir abusos, conforme a las directrices del Marco de Privacidad del NIST.
3. Aislamiento de Datos (Multi-tenancy Estricto)
Paperclip Work OS opera bajo una arquitectura de multi-tenancy estricto. Cada organización tiene sus datos completamente aislados mediante un filtro obligatorio en la base de datos, diseñado para prevenir que un usuario de una organización acceda a los datos de otra.
✓ Row-Level Security (RLS): Políticas de seguridad a nivel de fila en PostgreSQL garantizan el aislamiento en la capa de base de datos, no solo en la capa visual.
✓ Privacidad financiera interna: Roles no autorizados (como Miembros) no pueden acceder a información sensible como ingresos, gastos o márgenes de rentabilidad dentro de su propia organización.
✓ Denegación por defecto: Todas las tablas operan bajo una política "Deny by Default" — si no existe una política RLS explícita que permita el acceso, el acceso es denegado.
4. Infraestructura y Seguridad de Grado Empresarial
Los datos de los usuarios se almacenan en infraestructura de base de datos relacional alojada en Amazon Web Services (AWS), región us-east-1 (Virginia del Norte, Estados Unidos). Para más información sobre la transferencia internacional de datos, consulta la sección 11.1.
Cifrado en Tránsito
TLS/HTTPS obligatorio en todas las comunicaciones entre el cliente y los servidores.
Cifrado en Reposo
Estándar AES-256 para toda la información almacenada en la base de datos.
Autenticación Segura
Tokens JWT, soporte para MFA (TOTP), y sesiones con refresh tokens automáticos.
Rate Limiting
Protección contra ataques de fuerza bruta y abuso del sistema mediante limitación de solicitudes.
5. Protección de Archivos y Documentos
Los documentos subidos a los módulos de proyectos o proveedores se almacenan en contenedores privados (buckets) y no son accesibles públicamente.
El acceso a archivos se otorga mediante URLs firmadas temporalmente (Signed URLs) con caducidad temporal corta, evitando la exposición pública de contratos, certificaciones u otros documentos sensibles.
6. Servicios de Terceros
No vendemos, alquilamos ni compartimos datos personales con terceros para fines de marketing. Los únicos servicios de terceros que procesan datos son:
Supabase (AWS)
Alojamiento de datos, autenticación y almacenamiento de archivos.
Google (Gemini API vía OpenRouter)
Procesamiento de lenguaje natural del asistente "Clip". Los datos se envían en modo sin retención; no se utilizan para entrenamiento de modelos.
OpenRouter
Enrutamiento de solicitudes al modelo de IA. Sin retención de contenido de las conversaciones.
Google OAuth
Autenticación con cuenta de Google (solo si el usuario lo elige). No almacenamos contraseñas de Google.
Resend
Envío de correos transaccionales (bienvenida, invitaciones, alertas de seguridad).
Netlify
Hospedaje de la aplicación frontend.
Cloudflare
CDN, protección DNS y DDoS del sitio web corporativo.
La lista completa de subprocesadores, con finalidad, ubicación y retención, está disponible en el Acuerdo de Encargo de Tratamiento (DPA).
7. Asistente de Inteligencia Artificial ("Clip")
El asistente de IA "Clip" tiene acceso de lectura y escritura a los datos de la organización para ejecutar comandos por lenguaje natural (como crear proyectos, generar facturas o consultar finanzas). Las solicitudes se procesan a través de Google Gemini (vía OpenRouter) en modo sin retención de datos.
⚠ Compromiso de Aislamiento
Los datos de una organización están diseñados para no compartirse, cruzarse ni mezclarse con los de otra organización. Los proveedores de IA utilizados operan en modo zero-data-retention y no utilizan los datos para entrenar sus modelos. El asistente opera exclusivamente dentro del contexto de la organización activa del usuario.
8. Bitácora de Auditoría Inmutable
Paperclip Work OS mantiene una bitácora de auditoría que registra "quién hizo qué y cuándo" dentro de cada organización.
Esta bitácora es inmutable: las políticas de seguridad solo permiten la inserción de nuevos registros y prohíben su modificación o eliminación. Esto protege la cadena de custodia de eventos en caso de disputas legales o peritajes informáticos.
9. Política de Cookies
Paperclip Work OS utiliza exclusivamente cookies estrictamente necesarias para el funcionamiento del servicio:
Cookies de Sesión y Autenticación
Utilizamos cookies seguras con los atributos Secure y SameSite=Lax para manejar la autenticación y mantener las sesiones activas mediante refresh tokens automáticos.
✓ Lo que NO hacemos
No utilizamos cookies de seguimiento, cookies publicitarias, cookies de analítica de terceros, ni vendemos datos a anunciantes. No existe ningún rastreo de comportamiento con fines comerciales.
10. Tus Derechos (Habeas Data)
Conforme a la Ley 1581 de 2012 y el GDPR (cuando aplique), como usuario de Paperclip Work OS tienes derecho a:
10.1. Procedimiento para Ejercer tus Derechos
Para ejercer los derechos de acceso, rectificación, eliminación, portabilidad o revocación:
11. Retención de Datos
Conservamos tus datos mientras tu cuenta esté activa. Si el rol Owner de una organización solicita la eliminación de la organización y su cuenta, eliminaremos todos los datos operativos en un plazo máximo de 30 días.
Excepción: Bitácora de Auditoría
La bitácora de auditoría inmutable (sección 8) podrá conservarse más allá del plazo de 30 días como excepción legal al derecho de eliminación, al amparo de la obligación de mantener registros para procesos legales, peritajes informáticos o requerimientos de autoridades competentes (Ley 1581, Art. 10, lit. d; GDPR Art. 17.3.e). Si la bitácora contiene datos personales, estos se conservan exclusivamente con finalidad de auditoría y no para ningún otro propósito.
11.1. Transferencia Internacional de Datos
Los datos personales se almacenan y procesan en infraestructura de Amazon Web Services ubicada en Virginia, Estados Unidos. Al usar la Plataforma, el usuario reconoce y acepta esta ubicación de almacenamiento como parte necesaria para la prestación del servicio.
Para más información sobre los subprocesadores y sus ubicaciones, consulta el Acuerdo de Encargo de Tratamiento (DPA).
12. Cambios a esta Política
Nos reservamos el derecho de actualizar esta política. Cualquier cambio significativo será notificado a través de la Plataforma o por correo electrónico con al menos 15 días de anticipación. La fecha de última actualización se refleja al inicio de este documento.
13. Contacto
Para consultas sobre privacidad, seguridad o manejo de datos: