Tus datos, bajo las mejores prácticas de seguridad.
Xehrpa gestiona información altamente sensible: datos de empleados, salarios, documentos de identidad y procesos de selección. Por eso la seguridad no es una característica — es la base de todo lo que construimos.
Seis pilares de seguridad
Cada decisión de arquitectura y cada línea de código se evalúa a través de estos principios.
Cifrado en reposo y en tránsito
AES-256 para datos almacenados, TLS 1.3 para todas las comunicaciones. Los campos sensibles —cédulas, salarios, documentos— se cifran individualmente con claves rotables.
Aislamiento multi-tenant con RLS
Row Level Security en cada consulta SQL garantiza que los datos de tu organización nunca sean accesibles por otra. El aislamiento opera a nivel de base de datos, no solo de aplicación.
Audit log inmutable
Cada acción queda registrada: quién, qué, cuándo y desde qué IP. El log se retiene durante 2 años mínimo y no puede ser modificado ni por administradores de la plataforma.
Cumplimiento LOPDP Ecuador
Xehrpa fue diseñado desde cero para cumplir la Ley Orgánica de Protección de Datos Personales. Consentimiento explícito, plazos de respuesta y notificación de brechas incluidos.
Control de acceso basado en roles
Cada usuario tiene exactamente el acceso que necesita. Roles predefinidos (Admin, Reclutador, Aprobador, Coordinador, Evaluador) y roles personalizados en el plan Cumbre.
Enmascaramiento de datos sensibles
Cédulas y salarios se muestran parcialmente por defecto (17••••••••). Cada acceso al dato completo queda registrado en el audit log con justificación.
Controles técnicos y operativos
Resumen de los controles implementados en producción. Actualizado continuamente.
| Área | Control | Implementación |
|---|---|---|
| Cifrado | Datos en reposo | AES-256-GCM con claves rotables por organización |
| Cifrado | Datos en tránsito | TLS 1.3 obligatorio, HSTS preloaded |
| Cifrado | Contraseñas | bcrypt con factor de costo ≥ 12 |
| Acceso | Autenticación | JWT con expiración corta + refresh token rotativo |
| Acceso | 2FA | TOTP (próximamente), obligatorio para cuentas admin |
| Acceso | SSO / SAML | Disponible en plan Cumbre |
| Infraestructura | Hosting | Nube con certificación ISO 27001 y SOC 2 Type II |
| Infraestructura | Backups | Diarios cifrados, retención 30 días, pruebas mensuales |
| Infraestructura | Disponibilidad | SLA 99.9% en plan Cumbre, monitoreo 24/7 |
| Código | Revisión de dependencias | Escaneo automático de CVEs en cada despliegue |
| Código | SAST | Análisis estático en pipeline CI/CD |
| Datos | Audit log | Retención 2 años, hash SHA-256 por entrada |
| Datos | Enmascaramiento | Automático para cédulas, salarios y datos de contacto |
| Datos | Residencia | Datos procesados y almacenados en la región seleccionada |
Cumplimiento LOPDP Ecuador
La Ley Orgánica de Protección de Datos Personales (LOPDP) de Ecuador establece los estándares que todo procesador de datos debe cumplir. Xehrpa fue construido para ser nativamente conforme desde su primer despliegue.
Consentimiento explícito
Cada candidato que se postula otorga consentimiento informado antes de que sus datos sean procesados.
Plazos garantizados
15 días hábiles para responder solicitudes de derechos ARCO. Flujo de gestión integrado en la plataforma.
Notificación de brechas
Proceso de notificación en ≤ 5 días hábiles a la Autoridad y a los titulares afectados.
Derecho de supresión
Los datos de candidatos no contratados se eliminan al vencer el plazo de conservación definido.
Transferencias internacionales
Contratos de tratamiento firmados con todos los sub-procesadores. Transferencias solo a países con nivel adecuado.
Derechos de los titulares
Acceso (Art. 22)
El titular puede solicitar copia de todos sus datos personales almacenados en Xehrpa.
Rectificación (Art. 23)
Corrección de datos inexactos o incompletos en un plazo de 15 días hábiles.
Eliminación (Art. 24)
Supresión de datos cuando ya no sean necesarios o se retire el consentimiento.
Portabilidad (Art. 25)
Exportación de datos en formato estructurado (CSV, JSON) para transferencia a otro sistema.
Oposición (Art. 26)
El titular puede oponerse al tratamiento de sus datos para finalidades específicas.
No valoración automatizada (Art. 27)
Derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado.
Para ejercer cualquier derecho, escribe a privacidad@xehrpa.com
Respuesta ante incidentes de seguridad
Tenemos un protocolo estructurado para detectar, contener, notificar y resolver cualquier incidente que pueda afectar tus datos.
Detección y contención
El equipo de seguridad recibe la alerta, evalúa el alcance y toma acciones inmediatas de contención para limitar el impacto.
Investigación forense
Análisis del audit log, identificación de datos posiblemente afectados y determinación del vector de ataque.
Notificación LOPDP
Reporte formal a la Autoridad de Protección de Datos en los 5 días hábiles que exige la LOPDP. Notificación a los titulares afectados.
Comunicación a clientes
Las organizaciones afectadas reciben un informe detallado con el alcance, los datos involucrados y las acciones tomadas.
Revisión y mejora
Análisis de causa raíz, implementación de controles adicionales y publicación de un informe post-incidente si el alcance lo requiere.
Divulgación responsable de vulnerabilidades
Si descubres una vulnerabilidad de seguridad en Xehrpa, te pedimos que la reportes de forma responsable antes de hacerla pública. Nos comprometemos a:
Responder el reporte en menos de 72 horas hábiles
Mantener comunicación contigo durante el proceso de remediación
No emprender acciones legales contra investigadores de buena fe
Reconocer públicamente tu contribución (si lo deseas)
Remediar vulnerabilidades críticas en ≤ 30 días
Alcance: plataforma web xehrpa.com, API, apps móviles y subdominios *.xehrpa.app.
Reportar una vulnerabilidad
Envía un correo cifrado con los detalles técnicos de la vulnerabilidad encontrada. Incluye pasos de reproducción, impacto potencial y evidencia si aplica.
Correo de seguridad
seguridad@xehrpa.com
Privacidad y LOPDP
privacidad@xehrpa.com
Soporte general
hola@xehrpa.com
Infraestructura y disponibilidad
Hosting certificado
Infraestructura con certificación ISO 27001 y SOC 2 Type II. Servidores en región de América.
Backups diarios
Respaldos cifrados cada 24 h. Retención de 30 días. Pruebas de restauración mensuales documentadas.
CDN y redundancia
Distribución geográfica de contenidos estáticos. Redundancia de zona para alta disponibilidad.
Monitoreo 24/7
Alertas automáticas ante anomalías. SLA de disponibilidad del 99.9% en el plan Cumbre.
Preguntas frecuentes
¿Dónde se almacenan físicamente los datos?
Los datos de organizaciones de Ecuador, Colombia y Perú se almacenan en servidores ubicados en América (AWS us-east-1 o GCP southamerica-east1, según configuración). No realizamos transferencias fuera de la región sin consentimiento explícito.
¿Puede un empleado de Xehrpa acceder a los datos de mi organización?
No en condiciones normales. El acceso interno a datos de producción está restringido, requiere aprobación explícita, es temporal y queda registrado en un log de acceso privilegiado. Solo se activa para soporte técnico bajo petición del cliente.
¿Qué pasa con los datos si cancelo mi suscripción?
Tienes un período de 30 días para exportar todos tus datos en formato CSV/JSON. Pasado ese plazo, los datos se eliminan de forma permanente siguiendo los protocolos de borrado seguro (NIST 800-88).
¿Los datos de candidatos que no fueron contratados se eliminan?
Según la LOPDP, los datos de candidatos deben eliminarse una vez cumplido el período de conservación definido en la política de tu organización. Xehrpa envía recordatorios automáticos y permite la supresión masiva con un solo clic.
¿Cómo se maneja el consentimiento de los candidatos?
Cada candidato que se postula a través del portal público de empleo de Xehrpa otorga consentimiento informado y granular antes de que cualquier dato sea procesado. El consentimiento se almacena con timestamp y versión del aviso de privacidad.
¿Xehrpa tiene acceso a las contraseñas de mis usuarios?
No. Las contraseñas se transforman con bcrypt (costo ≥ 12) antes de almacenarse. Es técnicamente imposible recuperar la contraseña original. En caso de olvido, el sistema genera un enlace de restablecimiento de uso único.
¿Tienes preguntas específicas sobre seguridad?
Nuestro equipo puede preparar un cuestionario de seguridad (VSAQ) personalizado para tu organización o coordinar una revisión técnica.
Última actualización: junio 2026 · Versión 1.2