Skip to main content
Confianza y seguridad

Confianza, seguridad y cumplimiento

Las escuelas confían a KiwiBee datos sobre docentes, alumnos y familias. Esta página explica cómo los protegemos.

Última actualización: 2026-05-23

Visión general de seguridad

Cada respuesta de kiwibee.io incorpora estas protecciones de forma predeterminada.

  • HSTS preload

    Strict-Transport-Security con directiva preload. Los navegadores solo se conectan a KiwiBee por HTTPS.

  • Aislamiento cross-origin

    Cross-Origin-Opener-Policy: same-origin y Cross-Origin-Resource-Policy: same-origin bloquean ataques entre ventanas.

  • Permissions Policy

    Cámara, micrófono, geolocalización, pago, USB y APIs de interest-cohort están bloqueadas a nivel del navegador.

  • Protección contra clickjacking

    X-Frame-Options: SAMEORIGIN evita que sitios externos incrusten KiwiBee en un iframe.

  • MIME-type pinning

    X-Content-Type-Options: nosniff impide que el navegador adivine tipos de contenido.

  • Política de Referrer

    Referrer-Policy: strict-origin-when-cross-origin minimiza datos filtrados a dominios de terceros.

  • Content Security Policy

    CSP aplicada vía middleware con nonces por petición — los scripts inline sin nonce no se ejecutan.

Hoja de ruta de cumplimiento

Nuestra posición actual frente a cada marco principal.

  • SOC 2 Type I

    Auditoría en marcha con finalización prevista para el Q4 2026.

    En curso

  • GDPR

    Anexo de tratamiento de datos GDPR (DPA) disponible bajo solicitud para clientes de la UE.

    Disponible

  • FERPA

    Tratamiento de datos alineado con FERPA para escuelas de EE. UU.; actuamos como school official bajo la excepción de audited contractor.

    Alineado

  • COPPA

    Minimización de datos conforme a COPPA para alumnos menores de 13; flujos de consentimiento de padres/escuelas aplicados.

    Cumple

  • Decreto 13/2023 (Vietnam)

    Alineado con el Decreto de Protección de Datos Personales de Vietnam, incluidos derechos del titular y notificación de brechas.

    Cumple

Subprocesadores

Los proveedores externos que utilizamos para entregar el servicio.

ProveedorFinalidadRegión
VercelHosting web y red edgeEdge global
SupabaseBase de datos y autenticaciónSingapur
AnthropicIA del chatbot de kiwibee.ioEE. UU.
MistralIA para herramientas docentes (generación de fichas)UE
GoogleEmail de Workspace y AnalyticsGlobal

Residencia de datos

Dónde reposan los datos del cliente.

Región por defecto

Singapur (región Asia-Sureste de Supabase)

Opciones empresariales

Residencia de datos en la UE y EE. UU. disponible bajo solicitud para clientes empresariales.

Divulgación de vulnerabilidades

¿Encontraste un problema de seguridad? Nos encantaría que nos lo cuentes.

Email:security@kiwibee.io
Acuse de recibo

En 24 horas

Respuesta inicial

En 7 días

Divulgación coordinada

90 días desde el reporte inicial

Políticas relacionadas

Otros documentos que rigen cómo KiwiBee maneja los datos.

Política de privacidad

Qué recopilamos, por qué y cómo gestionar tus preferencias.

Términos del servicio

El acuerdo que rige el uso de la plataforma.

Accesibilidad

Nuestra declaración de conformidad WCAG 2.2 y datos de contacto.

¿Necesitas la carta SOC 2, el DPA o la lista de subprocesadores?

Los equipos de compras, seguridad o DPO pueden escribir a nuestro equipo para paquetes de evidencia y cuestionarios.

Contactar seguridadHablar con ventas