Saltar al contenido principal
FuncionesTarjeta gratisSectoresPreciosSeguridad
Iniciar sesiónComenzar

Trust Center

Last reviewed: July 2026

Hubity está construido con seguridad de nivel empresarial en su núcleo. Esta página documenta cómo protegemos tus datos, quién es responsable y cuáles son tus derechos.

Active
Encryption at Rest
Active
Encryption in Transit
Available
Multi-Factor Auth
Active
Audit Logging
Active
Privacy Rights
In Progress
SOC 2 (En curso)
Our Commitment
Core

La seguridad no es un complemento en Hubity. Está integrada en cada capa de nuestra arquitectura: desde el almacenamiento cifrado de campos hasta el acceso autenticado a archivos y los permisos granulares basados en roles. Nos exigimos los mismos estándares que ayudamos a los equipos de HR a aplicar a sus propios datos.

Data Encryption
Active
Encryption at rest: Todos los datos se cifran en reposo usando el estándar AES-256
Field-level encryption: Los campos sensibles (salario, datos personales) reciben una capa adicional de cifrado mediante una clave separada, con un vector de inicialización único por registro y autenticación de paso adicional requerida para el acceso
Encryption in transit: Todas las conexiones usan los estándares de cifrado de transporte más recientes. Las conexiones no seguras son rechazadas
Key management: Las claves de cifrado se derivan usando derivación de claves estándar del sector y se almacenan por separado de los datos cifrados. La rotación de claves es compatible sin necesidad de volver a cifrar los datos
Email privacy: Las direcciones de correo electrónico se cifran en reposo con protecciones adicionales para evitar su exposición en caso de acceso no autorizado
File access: Los archivos subidos se sirven a través de un proxy autenticado. Las URLs de almacenamiento sin procesar nunca se exponen a los clientes
Authentication
Active
Passwordless login: Códigos de correo electrónico con enlace mágico con vencimiento de 15 minutos: sin contraseñas que robar o vulnerar
Passkeys: Clave de seguridad de hardware y autenticación biométrica (huella dactilar, reconocimiento facial) completamente compatibles
Two-factor authentication: Doble factor basado en aplicación de autenticación con almacenamiento cifrado de secretos y códigos de recuperación con hash
OAuth SSO: Inicia sesión con Google o Microsoft (Entra ID) para el inicio de sesión único empresarial
Session management: Tokens de sesión cifrados y seguros con protección entre sitios y vencimiento automático
Step-up authentication: Los datos sensibles (salario, datos personales) requieren una reautenticación reciente antes de conceder el acceso
Infrastructure
Active
Hosting: Proveedor de alojamiento certificado para empresas con conmutación por error automática, red de distribución global y despliegues sin tiempo de inactividad
Database: Base de datos de nivel empresarial con cifrado en reposo, copias de seguridad continuas y recuperación en un punto del tiempo
Network Protection: Protección DDoS de nivel empresarial, gestión de bots y caché en el perímetro
Data isolation: Los datos de cada empresa están aislados lógicamente. Un aislamiento estricto entre inquilinos impide cualquier acceso a datos entre organizaciones
File storage: Los documentos se almacenan en almacenamiento en la nube cifrado con acceso autenticado solo en el servidor
Access Control
Active
Control de acceso basado en roles: Roles granulares de mínimo privilegio rigen cada acción. Las funciones están separadas: un rol dedicado de administrador de TI y seguridad gestiona la autenticación, las integraciones y la auditoría sin acceso a los datos de HR, finanzas o compensación, y un rol de finanzas se limita a los datos financieros sin poderes de administración de la empresa
Audit logging: Todas las acciones significativas se registran en un registro de auditoría a prueba de manipulaciones protegido por una cadena de hash criptográfica, que captura la IP de origen, el dispositivo y el contexto de la acción. Los registros se conservan durante al menos seis años
Rate limiting: Todas las operaciones de autenticación y sensibles están limitadas en tasa para prevenir abusos
Input validation: Validación en el servidor de todas las entradas, incluida la verificación del tipo de archivo en las cargas y la validación del formato de los datos
Application Security
Active
Content Security Policy: Políticas de seguridad estrictas del navegador que evitan la inyección de código y la carga de recursos no autorizados
Sensitive data detection: Detección automática de números de la Seguridad Social, números de tarjeta de crédito, contraseñas y claves API en las entradas de la base de conocimiento. Las credenciales activas se bloquean y otros datos sensibles se ponen en cuarentena y se excluyen de la recuperación por IA
Dependency management: Las dependencias se rastrean y actualizan regularmente. Los avisos de seguridad se revisan y se actúa sobre ellos con prontitud
Error handling: Los detalles de los errores internos nunca se exponen a los clientes. Los errores se registran de forma segura para revisión interna
Data Handling
Active
Data residency: Los datos se procesan y almacenan principalmente en los Estados Unidos. La residencia de datos en la UE está disponible en los planes Enterprise
Data minimization: Solo recopilamos los datos necesarios para prestar el servicio. Sin seguimiento conductual más allá de las analíticas del producto
Processing: Las consultas enviadas a nuestros proveedores de procesamiento no se retienen más allá del ciclo de vida de la solicitud y nunca se usan para entrenar modelos
Deletion: Los datos del cliente se eliminan tras la cancelación de la cuenta de acuerdo con nuestro Acuerdo de Tratamiento de Datos y, a partir de entonces, las copias de seguridad caducan de forma escalonada
Compliance
In Progress
European Privacy RightsActive
Se admiten los derechos de acceso, corrección, eliminación y exportación de datos
California Privacy RightsActive
Se respetan los derechos de privacidad del consumidor, incluidos el derecho a saber, a eliminar y a excluirse
Sensitive Data ProtectionActive
Field-level encryption, authenticated access, long-term audit retention
SOC 2 Type IIIn Progress
Proveedores de infraestructura certificados. Autoevaluación en curso
Accessibility

Hubity se compromete a cumplir los estándares de accesibilidad reconocidos en todas las superficies orientadas al usuario.

Keyboard navigation: Todos los elementos interactivos son accesibles mediante teclado con indicadores de foco visibles
Screen reader support: Etiquetas, roles y regiones activas para compatibilidad con tecnología de asistencia
Semantic HTML: Jerarquía de encabezados adecuada, regiones de referencia y etiquetas de formulario en toda la aplicación
Color contrast: El texto y los elementos de la interfaz cumplen las proporciones de contraste WCAG AA en los temas claro y oscuro
Skip navigation: Se proporciona un enlace de saltar al contenido para que los usuarios de teclado puedan omitir la navegación repetitiva
Responsive design: Totalmente utilizable en dispositivos móviles, tabletas y ordenadores de escritorio con compatibilidad de entrada táctil y de puntero

Para informar de una barrera de accesibilidad, contacta con [email protected].

Vulnerability Disclosure

Damos la bienvenida a la investigación de seguridad responsable. Si descubres una vulnerabilidad, repórtala a [email protected].

Response time: Confirmamos todos los informes en un plazo de 48 horas
Safe harbor: No emprendemos acciones legales contra investigadores de buena fe
Recognition: Los investigadores que reporten vulnerabilidades válidas serán reconocidos con su permiso

In scope: hubity.io y sus servicios asociados

Out of scope: Servicios de terceros, ingeniería social, denegación de servicio

Nuestra política de seguridad completa está publicada en /.well-known/security.txt

Connector Security Compliance
Active

Mapping against the OWASP MCP Top 10 marco para la seguridad de conectores y agentes.

MCP01 Token Mismanagement & Secret ExposureMitigated
Tokens almacenados como hashes unidireccionales. Credenciales cifradas con vectores de inicialización únicos por registro. El texto claro se muestra una sola vez en la generación y nunca es recuperable. Los secretos nunca se registran ni se incluyen en las respuestas de error.
MCP02 Privilege Escalation via Scope CreepMitigated
Tokens con alcance limitado y permisos explícitos de solo lectura. Los manifiestos de capacidad por cliente restringen las herramientas disponibles. Las operaciones de escritura requieren flujos de aprobación multinivel con doble control para acciones sensibles.
MCP03 Tool PoisoningMitigated
Todos los resultados de las herramientas de conector se analizan en busca de patrones de inyección, ejecución de comandos y exfiltración de datos antes de su almacenamiento o retorno. Las capacidades de los conectores requieren aprobación explícita del administrador.
MCP04 Supply Chain & Dependency TamperingMitigated
Seguimiento de procedencia con firmas criptográficas en todos los datos ingeridos. La integridad del contenido se verifica mediante cadenas de hash. La salud del conector se monitoriza continuamente con cuarentena automática en caso de fallo.
MCP05 Command Injection & ExecutionMitigated
Todas las entradas de las herramientas se validan en el servidor. Las consultas a la base de datos están parametrizadas. No se ejecuta ningún shell desde datos del conector. El análisis de contenido detecta amenazas en cargas útiles codificadas antes del procesamiento.
MCP06 Prompt Injection via Contextual PayloadsMitigated
Detección de inyección de prompts en todo el contenido de origen del conector. El contenido sensible y clasificado queda excluido de las respuestas de las herramientas. Se aplican límites de longitud de contenido a las respuestas de las herramientas.
MCP07 Insufficient Authentication & AuthorizationMitigated
OAuth 2.1 con PKCE. Vinculación de tokens de prueba de posesión. SSO empresarial mediante federación de proveedores de identidad. Endpoint de introspección de tokens para validación en tiempo real. Aislamiento multitenant en cada capa.
MCP08 Falta de auditoría y telemetríaMitigated
Cada llamada de herramienta, operación de token y decisión de acceso queda registrada. Pista de auditoría a prueba de manipulaciones con cadena de hash criptográfico. Paquetes de exportación de auditoría firmados para revisión de cumplimiento externo.
MCP09 Shadow ServersMitigated
El registro de conectores requiere autorización de nivel de responsable. Todos los conectores se rastrean en el inventario de la empresa con monitorización de salud. Los conectores sin uso se marcan automáticamente. Sin credenciales predeterminadas ni compartidas.
MCP10 Context Injection & Over-SharingMitigated
El aislamiento estricto de tenants evita el acceso a datos entre empresas. El contenido sensible, confidencial y clasificado como sanitario queda excluido de todas las respuestas. Análisis de datos personales con redacción automática.
Security Contact

Para consultas de seguridad, preguntas de cumplimiento normativo o para reportar un problema:

Hubity
[email protected]

¿Revisión de seguridad para empresas? Solicite nuestro paquete de seguridad (nuestro informe SOC 2 cuando esté disponible, el Acuerdo de Tratamiento de Datos y los cuestionarios de seguridad completados) bajo acuerdo de confidencialidad en la dirección anterior.

Mejor trabajo, juntos.

See every job, invoice, proposal, and document in one place, and ask it anything, with the answer cited from your own files.

Comenzar gratis

Gratis para siempre en Starter. Sin tarjeta de crédito.

Creemos que cada equipo puede hacer mejor trabajo. Más eficiente. Más transparente. Más colaborativo. Más conectado. Hubity lo hace realidad.

Producto

FuncionesCentro de conocimientoResúmenes diariosAsesor estratégicoInteligencia de feedsEntrada multimodalGestión de equipos

Explorar

SectoresIntegracionesTarjeta gratisPlanes y preciosHistorial de cambios

Empresa

Por qué nosotrosPrensaContactoEstado

Legal

Terminos de servicioPolitica de privacidadSeguridadDPAAccesibilidadSolicitud de privacidad
© 2026 Hubity Todos los derechos reservados.
Politica de privacidadTerminos de servicioNo vender ni compartir mi información personal