Ligero por diseño. Hecho para proteger los datos de tu gente.
Vogata guarda cosas francas y sensibles: objetivos, evaluaciones y notas privadas de 1:1 sobre personas reales. Tratamos esos datos con el cuidado que merecen. Esta página explica, en lenguaje claro, cómo los protegemos y qué hacemos y qué no. Sin palabras de moda, sin humo.
Vigente a junio de 2026 · ¿Dudas? [email protected]
Vogata es una startup en etapa temprana, y preferimos ser directos antes que impresionantes. Hoy no estamos certificados SOC 2. Construimos para estar alineados a SOC 2 y nuestra infraestructura corre sobre AWS y Cloudflare, dos proveedores con programas de seguridad maduros y sus propias auditorías independientes. A medida que crezcamos, la certificación formal está en el roadmap. Hasta entonces, no afirmaremos un sello que no nos hemos ganado.
Cifrado
En tránsito
Toda conexión con Vogata, en el navegador, la app y nuestras APIs, viaja cifrada con TLS (HTTPS). Forzamos HTTPS y usamos HSTS para que los navegadores se nieguen a caer en una conexión sin cifrar. No existe una ruta en HTTP plano hacia tus datos.
En reposo
Tus datos se almacenan en AWS y se cifran en reposo por defecto. Los registros de la aplicación viven en Amazon DynamoDB con cifrado activado; cualquier almacenamiento relacionado usa claves de cifrado gestionadas por AWS. Los respaldos heredan el mismo cifrado.
Aislamiento multi-tenant
Vogata es multi-tenant: muchas organizaciones comparten la misma infraestructura, pero nunca los datos de las demás. Cada registro está ligado a una sola organización, y cada solicitud se acota a la organización y el rol de quien la hace antes de leer o escribir cualquier dato. Una empresa nunca puede ver, consultar ni reportar sobre los objetivos, evaluaciones o notas de otra. El aislamiento se aplica en la capa de aplicación en cada operación, no solo al iniciar sesión.
Autenticación y acceso
- Identidad gestionada. El inicio de sesión lo maneja Amazon Cognito, un servicio de identidad gestionado. No hacemos nuestra propia autenticación ni guardamos contraseñas en texto plano. Las contraseñas se almacenan con sal y hash mediante Cognito siguiendo estándares modernos.
- Protección contra bots en el registro. La creación de cuentas está protegida con Cloudflare Turnstile, un CAPTCHA respetuoso de la privacidad, para frenar el abuso automatizado y las cuentas falsas.
- Acceso por rol dentro de tu organización. Lo que cada persona ve y puede hacer, su propio plan, su equipo, toda la organización, depende de su rol. Cada quien ve la vista que le corresponde y nada más allá.
- Seguridad de sesión. Las sesiones usan tokens firmados y de corta vida sobre HTTPS, y se pueden cerrar al salir de la cuenta.
Las notas privadas de 1:1 siguen privadas
Esto importa, así que lo decimos sin rodeos. Las notas privadas que tomas durante un 1:1 son tuyas, de su autor. Viven en tu propio espacio, nunca aparecen en la vista de otra persona, y nunca figuran en reportes ni agregados a nivel de equipo u organización. Las notas privadas de un manager no son visibles para su colaborador, y las de un colaborador no son visibles para su manager. Solo se comparte lo que se comparte explícitamente: los objetivos acordados, los compromisos registrados y el avance. Aquí la privacidad es una decisión de diseño, no una opción que tengas que acordarte de activar.
Infraestructura
Vogata corre sobre una arquitectura serverless, lo que significa menos piezas que configurar mal y una superficie de ataque más pequeña que una flota de servidores que tendríamos que parchar a mano.
- AWS (región us-east-2). El cómputo corre en AWS Lambda, los datos en Amazon DynamoDB y el correo transaccional a través de Amazon SES. AWS se encarga de la seguridad física, el parchado y la resiliencia de la plataforma subyacente.
- Cloudflare. Nuestro sitio y el DNS corren en Cloudflare, con Turnstile cuidando el registro. Cloudflare se sitúa frente al tráfico, gestionando la terminación TLS y la protección contra abusos comunes a nivel de red.
- Mínimo privilegio por defecto. Cada función recibe solo los permisos que necesita para su tarea, nada más.
Datos e IA
El coach de IA funciona con Claude, de Anthropic. Lo usamos de forma deliberada y con límites claros.
- Tus datos no se usan para entrenar modelos. El contenido que enviamos a Anthropic para que funcione el coach no se usa para entrenar sus modelos. Tus objetivos, notas y evaluaciones siguen siendo tuyos.
- El coach asiste, nunca decide. La IA redacta, revisa y sugiere: objetivos más nítidos, un chequeo SMART, una agenda de 1:1, un primer borrador de una evaluación. Siempre hay una persona que revisa y decide. Nunca califica a nadie por ti.
- Enviamos solo lo necesario. El coach recibe el contexto relevante para la tarea en curso, no los datos de toda tu organización.
Respaldos y resiliencia
Tus datos se respaldan para que un accidente no se convierta en una pérdida. Nos apoyamos en la durabilidad gestionada de AWS y en sus capacidades de recuperación a un punto en el tiempo para nuestras bases de datos, con respaldos cifrados en reposo como todo lo demás. El diseño serverless también implica que no hay un único servidor cuya falla deje al producto fuera de servicio.
Gestión de accesos internos
Somos un equipo pequeño y mantenemos el acceso interno acotado. El acceso a los sistemas de producción se limita a las personas que de verdad lo necesitan, protegido con cuentas individuales y autenticación multifactor, y otorgado bajo el principio de mínimo privilegio. No leemos tus notas privadas ni curioseamos tus datos por gusto: solo accederíamos a los datos de una organización con tu conocimiento, para darte soporte o resolver un problema que nos hayas planteado.
Divulgación responsable
Si crees haber encontrado una vulnerabilidad de seguridad en Vogata, cuéntanoslo antes de divulgarla públicamente. Escribe a [email protected] con el detalle suficiente para reproducir el problema. Acusaremos recibo de tu reporte, trabajaremos contigo para entenderlo y corregirlo, y no tomaremos acciones contra la investigación de buena fe que respete la privacidad de nuestros usuarios y evite degradar el servicio. Agradecemos de verdad la ayuda.
¿Tienes una duda de seguridad?
Ya sea que estés evaluando Vogata para tu equipo o que hayas detectado algo que deberíamos corregir, queremos saberlo. Respondemos las dudas de seguridad de forma directa y honesta.