Seguridad

Esta página resume las medidas de seguridad, privacidad operativa y responsabilidad compartida aplicables a Momentum. Complementa los Términos y Condiciones, el Aviso de Privacidad Integral, el Acuerdo de Tratamiento de Datos, la Política SMS, la Política de Retención y Eliminación, la lista de Subprocesadores y las demás políticas publicadas por Momentum.

Momentum opera como una capa de Communication Ops. Su seguridad se enfoca en proteger cuentas, tenants, usuarios, contactos, campañas, interacciones SMS, respuestas, delivery reports, bajas, billing, webhooks, soporte, evidencias y configuraciones necesarias para prestar el servicio.

1. Alcance y límites de esta página

Esta página es un resumen público de controles razonables implementados o previstos en Momentum para proteger la operación del servicio. No constituye una certificación, auditoría externa, garantía absoluta de seguridad, cumplimiento sectorial especializado, dictamen legal, SOC 2, ISO 27001 ni compromiso técnico ilimitado.

Las medidas pueden variar por entorno, plan, configuración, proveedor, integración, país, cuenta, estado de despliegue o contrato específico. Cuando un contrato escrito entre el Cliente y Axon Learning establezca controles adicionales, prevalecerá dicho contrato para el alcance contratado.

Ningún sistema conectado a Internet, proveedor de telecomunicaciones, procesador de pago, infraestructura cloud, correo, navegador, dispositivo, usuario o integración puede considerarse completamente inmune a fallas, ataques, errores humanos, abuso, interrupciones o accesos no autorizados. La seguridad de Momentum requiere responsabilidad compartida entre Axon Learning, el Cliente, los usuarios, proveedores y sistemas externos autorizados.

2. Gobierno de seguridad

Momentum aplica un enfoque razonable basado en riesgo, naturaleza de los datos, criticidad de funcionalidades, obligaciones contractuales, capacidad técnica disponible y controles documentados. Las decisiones de seguridad consideran:

• Separación lógica por tenant.
• Principio de mínimo privilegio para usuarios y accesos internos.
• Evidencia de acciones relevantes.
• Protección de endpoints públicos y webhooks.
• Reducción de exposición de secretos y PII en flujos técnicos.
• Retención proporcionada de logs y eventos técnicos.
• Uso de proveedores necesarios para mensajería, pagos, hosting, seguridad y observabilidad.
• Revisión de cuentas, campañas y casos de uso de mayor riesgo.

Momentum puede actualizar controles, proveedores, configuraciones, headers, políticas, límites, monitoreo, pruebas, validaciones o documentación conforme evolucione el producto, la ley, la infraestructura o el riesgo operativo.

3. Aislamiento por tenant y control de acceso

Momentum está diseñado para que los datos de negocio se operen dentro del contexto de una cuenta o tenant. Las entidades centrales de comunicación, billing, campañas, contactos, usuarios, interacciones, auditoría y configuraciones deben tratarse con alcance de cuenta cuando corresponda.

Las interfaces de usuario, servicios, APIs y consultas deben respetar el contexto de cuenta y permisos del usuario. Momentum mantiene roles y permisos para limitar acciones como administración de cuenta, billing, campañas, usuarios, integraciones, webhooks o consulta operativa.

El Cliente debe asignar roles conforme al principio de mínimo privilegio, retirar accesos de personas que ya no deban operar la cuenta, revisar usuarios periódicamente, evitar cuentas compartidas y proteger credenciales, dispositivos, correos y navegadores usados por su equipo.

4. Autenticación y sesiones

Momentum puede usar autenticación por email y contraseña, verificación de email, invitaciones, sesiones seguras, cookies de sesión, controles CSRF, expiración de sesión y autenticación federada cuando esté configurada.

En entornos productivos o equivalentes, Momentum debe operar con HTTPS y cookies seguras. La autenticación de administradores internos o staff puede requerir controles reforzados, incluyendo verificación adicional o doble factor cuando esté habilitado para dichos perfiles.

Momentum no garantiza doble factor universal para todos los usuarios finales salvo que se habilite expresamente en el producto, contrato o configuración aplicable. El Cliente debe exigir buenas prácticas internas de contraseñas, dispositivos, correo corporativo y revocación de accesos.

5. Seguridad de la aplicación

Momentum incluye controles razonables de aplicación, como:

• Validaciones de entrada y formularios.
• Protección CSRF en formularios aplicables.
• Cookies de sesión seguras en producción.
• Configuración de hosts permitidos.
• Cabeceras de seguridad como `X-Frame-Options`, protección de contenido y opciones HTTPS cuando el entorno lo permite.
• Separación de configuración sensible mediante variables de entorno.
• Revisión de permisos y acceso por rol.
• Registro de auditoría para acciones relevantes.
• Rate limiting o controles antiabuso en ciertos endpoints públicos.

Algunos controles, como políticas CSP estrictas, reglas específicas de cabeceras o proveedores de monitoreo, pueden depender de configuración de entorno. Si un control no está habilitado en un entorno concreto, no debe considerarse garantizado para ese entorno.

6. Webhooks, APIs e integraciones

Momentum puede recibir o emitir eventos hacia proveedores SMS, Stripe, sistemas externos del Cliente, formularios, webhooks de origen y otros servicios autorizados.

Los webhooks y APIs relevantes pueden incluir controles como:

• Validación de firma, secreto, token o cabecera autorizada cuando la integración lo soporta.
• Idempotency keys, IDs de evento, correlation IDs o mecanismos equivalentes para evitar procesamiento duplicado.
• Registro de eventos técnicos y estados de procesamiento.
• Sanitización de headers, query params, payloads o snapshots para reducir exposición de secretos y PII.
• Rate limiting o listas permitidas de IP en endpoints donde aplique.
• Procesamiento diferido o reintentos cuando la arquitectura lo soporte.

En webhooks de proveedor, como SMS o billing, el alcance exacto de firma, rate limit, allowlist, retención e idempotencia depende del proveedor, endpoint y configuración. El Cliente debe proteger sus propias URLs de webhook, secretos, tokens, APIs, sistemas receptores y credenciales externas.

7. Datos, logs y observabilidad

Momentum conserva datos técnicos y logs en la medida necesaria para operar, diagnosticar, auditar, prevenir abuso, investigar incidentes, atender soporte, demostrar eventos y defender derechos. Estos datos pueden incluir IP, user-agent, timestamps, rutas, IDs técnicos, errores, estados de envío, DLR, MO, webhooks, auditoría, headers sanitizados o referencias de proveedor.

Momentum procura no registrar contraseñas, secretos, tokens completos, credenciales o datos personales innecesarios. Sin embargo, ciertos datos personales o contextos técnicos pueden aparecer en logs, errores, payloads, tickets, eventos de observabilidad o registros de proveedor cuando sean necesarios para diagnóstico, seguridad, soporte, cumplimiento o evidencia.

La observabilidad puede apoyarse en Sentry u otro proveedor equivalente cuando exista configuración de entorno. Momentum no afirma que exista un scrub global perfecto de todo log o evento; la reducción de PII debe aplicarse de forma razonable por flujo y mejorar conforme evolucione el producto.

8. Mensajería SMS y proveedores

La operación SMS depende de proveedores, agregadores, carriers, operadores móviles, rutas, números, subcuentas, delivery reports y reglas de telecomunicaciones. Momentum protege la integración SMS mediante configuración de credenciales, registro de eventos, procesamiento de respuestas, listas de supresión, evidencia de bajas y controles operativos.

Los proveedores SMS pueden aplicar filtros, retenciones, bloqueos, límites, revisiones, reglas de contenido, rutas alternativas o decisiones propias. Momentum no controla completamente redes móviles, carriers, entregabilidad, almacenamiento interno de proveedores ni decisiones regulatorias o comerciales de terceros.

El Cliente debe cargar solo bases con origen lícito, respetar BAJA/opt-out, evitar spam, conservar evidencia de consentimiento y no usar Momentum para campañas prohibidas, engañosas, sensibles sin autorización o incompatibles con la Política SMS.

9. Billing y pagos

Momentum puede usar Stripe para checkout, suscripciones, facturación, impuestos, portal de cliente, eventos de pago y conciliación. Los datos completos de tarjeta se procesan por Stripe y no deben almacenarse directamente en Momentum cuando se usa el flujo estándar de Stripe.

Momentum conserva referencias de billing, IDs de Stripe, estado de suscripción, facturas, planes, top-ups, impuestos y eventos necesarios para operar el servicio, acreditar consumo, resolver disputas, prevenir fraude, atender soporte y cumplir obligaciones contables o fiscales.

Stripe puede aplicar sus propios controles de seguridad, privacidad, retención, antifraude, cumplimiento y subprocesadores conforme a su documentación contractual.

10. Secretos y configuración

Momentum debe administrar secretos, llaves, tokens, credenciales, DSN, API keys, webhooks, claves Stripe, credenciales SMS, SMTP y valores sensibles mediante variables de entorno, gestores de secretos o configuración protegida por entorno. Estos valores no deben exponerse en código público, repositorios, logs, capturas, mensajes de soporte ni documentación visible.

Los secretos del Cliente o de integraciones externas deben compartirse solo por canales autorizados y con acceso limitado. El Cliente debe rotar credenciales cuando un usuario pierde autorización, una integración deja de usarse, se sospecha exposición o lo requiera su política interna.

11. Respaldos, continuidad y recuperación

Momentum puede mantener respaldos de base de datos, archivos, configuraciones o componentes críticos para recuperación operativa. Los ciclos, ubicación, retención y restauración dependen del entorno, proveedor, contrato, arquitectura y configuración vigente.

Los respaldos pueden conservar datos hasta su expiración técnica y no siempre pueden modificarse individualmente para eliminar un dato específico sin comprometer integridad o recuperación. La Política de Retención y Eliminación explica cómo se coordinan respaldos, eliminación, bloqueo, anonimización y conservación de evidencia.

Momentum no garantiza disponibilidad ininterrumpida, recuperación instantánea ni conservación indefinida de datos salvo que exista un SLA o contrato específico aplicable.

12. Retención y auditoría

Momentum conserva auditoría, interacciones, bajas, opt-outs, eventos, billing, soporte y evidencia conforme a la Política de Retención y Eliminación.

La configuración técnica actual contempla procesos de purga para ciertos datos técnicos antiguos, como solicitudes idempotentes y eventos de webhook, pero preserva el ledger de comunicación y auditoría de acciones críticas salvo decisión futura documentada, anonimización, bloqueo o eliminación manual autorizada cuando proceda.

Esta conservación es necesaria para demostrar instrucciones, entregabilidad, bajas, aceptaciones legales, prevención de abuso, soporte, billing, investigación de incidentes y defensa de derechos.

13. Incidentes de seguridad

Si Momentum detecta un incidente relevante que pueda afectar datos, cuentas, disponibilidad, integridad, confidencialidad o prestación del servicio, Axon Learning evaluará el evento, buscará contenerlo, investigará causa razonable, mitigará efectos y notificará a clientes o autoridades cuando corresponda conforme a ley, contrato, riesgo y disponibilidad de información.

La notificación puede incluir, según proceda: descripción general, fechas estimadas, categorías de datos afectadas, medidas tomadas, recomendaciones y punto de contacto. Momentum puede omitir detalles que comprometan seguridad, investigación, secretos, otros tenants, proveedores, infraestructura o defensa legal.

El Cliente debe reportar sin demora cualquier acceso indebido, credencial comprometida, usuario no autorizado, envío sospechoso, webhook expuesto, campaña abusiva, fuga de datos, error de destinatarios o incidente que pueda afectar Momentum o a titulares.

14. Responsabilidad compartida del Cliente

El Cliente debe:

• Proteger usuarios, contraseñas, correos, dispositivos, navegadores y redes de su equipo.
• Asignar permisos mínimos y retirar accesos oportunamente.
• Mantener evidencia de consentimiento, origen lícito y avisos de privacidad.
• Revisar listas, destinatarios, segmentación, contenido, enlaces, horarios y finalidades antes de enviar.
• Proteger API keys, tokens, webhooks, sistemas externos y credenciales de proveedores.
• Mantener actualizado su CRM, ERP, helpdesk, hoja de cálculo o sistema maestro cuando reciba bajas, correcciones u oposiciones.
• Evitar cargar datos innecesarios, sensibles, confidenciales o de menores sin base legal reforzada y controles adecuados.
• Revisar respuestas, quejas, rebotes, errores, bajas y señales de abuso.
• Notificar a Momentum incidentes o riesgos relevantes.

Momentum no reemplaza las obligaciones legales, técnicas, contractuales, sectoriales o internas del Cliente ni certifica que las campañas, bases, sistemas externos o procesos del Cliente sean seguros o lícitos.

15. Revisión, auditoría y documentación

Los clientes pueden solicitar información razonable sobre controles de seguridad aplicables a Momentum escribiendo a legal@momentumsms.com. La respuesta puede consistir en documentación pública, resúmenes de controles, respuestas a cuestionarios razonables, referencias de proveedores o información contractual disponible.

Cualquier auditoría más profunda debe acordarse por escrito, estar limitada al servicio contratado, respetar confidencialidad, no comprometer seguridad, secretos, infraestructura, otros clientes, proveedores, código fuente, credenciales ni continuidad operativa.

16. Cambios a esta página

Momentum podrá actualizar esta página para reflejar cambios técnicos, legales, operativos, de proveedores, seguridad, infraestructura, producto o cumplimiento. La versión vigente se publicará en https://momentumsms.com/legal/seguridad.

Cuando el cambio sea material, Momentum podrá notificarlo por correo, dentro de la aplicación, en el sitio, durante el onboarding o por otros medios razonables, y podrá solicitar reaceptación cuando corresponda.

17. Contacto

Para dudas sobre seguridad, privacidad, incidentes, proveedores o reportes de vulnerabilidad, puedes escribir a legal@momentumsms.com.