Confianza
Confianza y seguridad
Kleva procesa datos financieros sensibles de bancos, prestamistas, fintechs y aseguradoras de Latinoamérica. Esta página describe cómo protegemos esos datos hoy y hacia dónde vamos. Somos francos sobre lo que ya está en producción y lo que todavía está en camino.
Índice
1. Estado actual
Lo que está en producción hoy en la plataforma Kleva:
- Cifrado en tránsito y en reposo: Todo el tráfico entre el navegador, nuestros servidores y los sistemas de nuestros clientes se cifra con TLS 1.2+. Los datos en reposo (grabaciones de llamadas, transcripciones, registros de auditoría, información de deudores) se almacenan cifrados en AWS con AES-256.
- Hospedaje en AWS con redundancia: Nuestra infraestructura corre en AWS con redundancia multi-zona en la región aplicable a cada cliente. Los datos de clientes latinoamericanos permanecen dentro de la región para cumplir con requisitos de soberanía de datos.
- Control de acceso basado en roles: Los miembros del equipo de Kleva sólo acceden a los datos estrictamente necesarios para su función. Cada acceso queda registrado en un log de auditoría que retenemos por 12 meses.
- Registro de auditoría por interacción: Cada llamada del agente de voz, cada envío de mensaje y cada actualización en el sistema del cliente queda registrada con contexto suficiente para auditoría por parte del cliente y del regulador.
- Revisión de proveedores: Todo sub-procesador nuevo pasa por una revisión de seguridad antes de ser incorporado. La lista actualizada se comparte a pedido con clientes bajo NDA.
2. Cumplimiento en progreso
Somos honestos: Kleva es una compañía joven y no tenemos todavía certificaciones formales. Estamos activamente en camino hacia las siguientes:
- SOC 2 Type I: En preparación con Vanta. Auditoría formal proyectada para el próximo ciclo fiscal.
- SOC 2 Type II: Planeada tras SOC 2 Type I.
- ISO/IEC 27001: En roadmap. Fecha objetivo aún por confirmar según capacidad del equipo.
- Alineación con LGPD (Brasil) y regulaciones locales por país: Nuestras políticas de privacidad y contratos están alineados con LGPD, con la Ley Federal de Protección de Datos Personales en Posesión de Particulares (México), la Ley 25.326 (Argentina) y con marcos equivalentes en el resto de la región. Consultá nuestra política de privacidad para el detalle.
Si tu proceso de compra requiere un cuestionario de seguridad o un reporte parcial de estado de cumplimiento antes de la certificación formal, contactanos en hi@kleva.co y te compartimos lo que ya tenemos documentado.
3. Manejo de datos
Datos que procesamos por cliente
- Datos del deudor: nombre, teléfono, monto y estado de la deuda, historial de contacto. Los recibimos del sistema del cliente, los procesamos en las conversaciones del agente de IA, y devolvemos los resultados al sistema del cliente.
- Grabaciones y transcripciones: Cada llamada del agente se graba y transcribe para propósitos de auditoría, mejora del modelo y disputa. Los clientes definen el período de retención.
- Metadatos de interacción: Fecha, duración, canal, resultado, promesas de pago, razón de escalamiento. Se agregan al registro auditable de la cuenta.
Retención
Los datos operativos se retienen por el período definido en el contrato con cada cliente (por defecto 24 meses tras el cierre de la cuenta). Al finalizar el contrato eliminamos los datos de forma verificable dentro de los 30 días, salvo obligación legal en contrario.
Portabilidad
Los clientes pueden solicitar un export de sus datos en formato CSV o JSON en cualquier momento. Los deudores pueden ejercer derechos ARCO (acceso, rectificación, cancelación, oposición) a través del Delegado de Protección de Datos indicado en la política de privacidad.
4. Reportar una vulnerabilidad
Si encontraste una vulnerabilidad de seguridad en cualquier parte de
Kleva (sitio web, API, plataforma, agente de voz), escribinos a hi@kleva.co con el asunto [SEC].
Nuestro compromiso:
- Acuse de recibo dentro de 2 días hábiles.
- Actualización sobre el impacto y el plan de mitigación dentro de 7 días hábiles.
- Reconocimiento público del reporte (con tu permiso) una vez resuelto.
No perseguimos legalmente investigadores que reporten de buena fe y respeten los términos de esta política.
5. Documentos legales
- Política de privacidad
- Términos de servicio
- Acuerdo de Procesamiento de Datos (DPA): Enviamos nuestro DPA estándar a pedido. Escribinos a hi@kleva.co desde una dirección corporativa.
- Cuestionarios de seguridad: Completamos SIG Lite, CAIQ y cuestionarios personalizados de clientes empresariales. Solicitalo por el mismo canal.