Política de Seguridad

Términos y Condiciones Política de Seguridad Política de Privacidad Acuerdo de Confidencialidad (NDA)

SiteBot

https://sitebot.smart506.net

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Estándares, Controles y Prácticas de Seguridad de SiteBot

ACTORES DEL DOCUMENTO

Empresa Proveedora de Servicios

SMART506.COM SRL — Cédula Jurídica: 3-102-730455

Producto

SiteBot — Plataforma de Chatbot con Inteligencia Artificial

Servidor / Plataforma

https://sitebot.smart506.net

Cliente

Persona física o jurídica que contrata SiteBot

Versión

1.0

Vigente desde

10 de abril de 2026

Jurisdicción

República de Costa Rica

Este documento es de carácter legal y vinculante. Léalo detenidamente.

1. Introducción y Compromiso

SMART506.COM, como desarrollador y operador de SiteBot, asume un compromiso irrenunciable con la seguridad de la información de sus Clientes. Reconocemos que SiteBot accede a bases de datos de terceros, indexa contenido de sitios web y procesa conversaciones de usuarios finales — responsabilidades que exigen los más altos estándares de protección.

✅ SiteBot opera bajo un modelo de mínimo privilegio: accedemos únicamente a los datos estrictamente necesarios para la prestación del servicio, durante el tiempo estrictamente necesario.

Esta Política establece los controles técnicos, procedimentales y organizacionales implementados para proteger la confidencialidad, integridad y disponibilidad de la información gestionada por la Plataforma.

2. Alcance

Esta política aplica a:

  • Toda la infraestructura técnica de SiteBot (servidores, bases de datos, APIs, código fuente).
  • El personal de SMART506.COM con acceso a datos de clientes.
  • Los datos de clientes almacenados en la Plataforma, incluyendo Knowledge Bases, registros de conversaciones y credenciales de conexión.
  • Las conexiones establecidas entre SiteBot y los sitios web de los Clientes.
  • Las integraciones con proveedores externos (API de Anthropic, proveedor de hosting).

3. Seguridad de la Infraestructura

3.1 Servidor y Hosting

  • El servidor opera en infraestructura cPanel/WHM con certificado SSL/TLS activo, garantizando cifrado de todas las comunicaciones HTTP bajo protocolo HTTPS.
  • El acceso administrativo al servidor está restringido por firewall a direcciones IP autorizadas.
  • Se realizan copias de seguridad (backups) automáticas diarias con retención mínima de 7 días.
  • El directorio de configuración (/config/) está protegido mediante reglas .htaccess que deniegan el acceso público directo.
  • Los listados de directorio están deshabilitados en todo el servidor.

3.2 Base de Datos

  • Las credenciales de la base de datos principal de SiteBot se almacenan en archivos de configuración fuera del directorio público web.
  • Todas las consultas a la base de datos utilizan PDO con sentencias preparadas (prepared statements), eliminando el riesgo de inyección SQL.
  • Las credenciales de bases de datos de clientes (OpenCart, WordPress) se almacenan cifradas en la base de datos de SiteBot.
  • El usuario de base de datos de SiteBot opera con permisos mínimos necesarios (SELECT, INSERT, UPDATE, DELETE únicamente sobre las tablas propias).
  • No se almacenan contraseñas en texto plano. Todas las contraseñas de usuarios del panel administrativo se cifran con bcrypt (PASSWORD_BCRYPT, PHP 8.1).

3.3 API Key y Autenticación

  • Cada cliente recibe una API Key única generada con funciones criptográficamente seguras (random_bytes/bin2hex).
  • Las API Keys se transmiten únicamente sobre HTTPS.
  • El endpoint de chat (/api/chat.php) valida la API Key en cada solicitud antes de procesar cualquier dato.
  • El panel administrativo implementa sesiones PHP con regeneración de ID de sesión en cada login para prevenir ataques de fijación de sesión.
  • Los intentos de login fallidos se registran en el Audit Log para detección de ataques de fuerza bruta.

4. Seguridad en el Acceso a Datos del Cliente

Acceso a bases de datos de clientes: SiteBot accede a las bases de datos de clientes OpenCart ÚNICAMENTE para operaciones de lectura (SELECT) durante el proceso de crawling. Nunca realiza operaciones de escritura, modificación o eliminación.

4.1 OpenCart (Base de Datos Directa)

  • La conexión se establece mediante PDO con manejo de excepciones.
  • Las credenciales son almacenadas cifradas y accedidas únicamente por el proceso de crawling autorizado.
  • El crawling extrae exclusivamente datos del catálogo de productos, categorías y páginas informativas.
  • No se accede a tablas de clientes finales, órdenes, pagos, contraseñas ni información financiera.
  • Las conexiones son cerradas inmediatamente tras completar el proceso de indexación.

4.2 WordPress (REST API)

  • La integración con WordPress se realiza exclusivamente a través de la API REST pública o mediante autenticación básica para WooCommerce.
  • Las credenciales de API se almacenan cifradas.
  • El acceso se limita a endpoints de lectura de posts, páginas y productos.

4.3 Sitios HTML

  • El crawling de sitios HTML se realiza mediante solicitudes HTTP estándar, sin autenticación ni acceso a sistemas de backend.
  • Se respetan las directivas robots.txt del sitio del Cliente.

5. Seguridad del Widget

  • El widget JavaScript (sitebot.js) se sirve exclusivamente desde HTTPS.
  • El widget no almacena datos sensibles en localStorage ni cookies persistentes del navegador.
  • Las comunicaciones entre el widget y el servidor de SiteBot utilizan HTTPS con headers CORS configurados para aceptar únicamente el dominio registrado del Cliente.
  • El widget no tiene acceso al DOM completo de la página del Cliente más allá de su contenedor de chat.
  • No se recopila información del dispositivo del usuario final más allá de la conversación en texto.

6. Gestión de Credenciales y Secretos

  • Las claves de API de Anthropic se almacenan en archivos de configuración con permisos de sistema restringidos (chmod 600).
  • No se almacenan credenciales en repositorios de código fuente.
  • La clave secreta del cron job (CRON_SECRET) es única por instalación y se genera aleatoriamente.
  • Se realizan rotaciones periódicas de credenciales sensibles.

7. Monitoreo y Auditoría

  • Todas las acciones del panel administrativo se registran en el Audit Log (sb_audit_log) con timestamp, usuario, acción, detalle e IP.
  • Los errores del sistema se registran en logs internos accesibles únicamente al administrador.
  • El módulo Claude Status permite verificar en tiempo real el estado de la conexión con la API de Anthropic.
  • Se revisan periódicamente los logs de acceso en busca de patrones anómalos.

8. Gestión de Incidentes de Seguridad

En caso de detectarse un incidente de seguridad, el Proveedor se compromete a:

  • Contener el incidente dentro de las primeras 2 horas de su detección.
  • Notificar a los Clientes afectados dentro de las primeras 24 horas.
  • Realizar un análisis forense para determinar el alcance del incidente.
  • Implementar medidas correctivas y preventivas.
  • Documentar el incidente y las acciones tomadas.
  • Reportar a las autoridades competentes si así lo requiere la legislación costarricense.

9. Seguridad Física

La infraestructura de SiteBot opera en centros de datos de terceros (proveedor de hosting cPanel) que cuentan con controles de acceso físico, sistemas de alimentación redundante, control de temperatura y medidas contra incendio. El Proveedor no tiene acceso físico directo a los servidores.

10. Actualizaciones y Mantenimiento de Seguridad

  • El código fuente de SiteBot es revisado periódicamente en busca de vulnerabilidades.
  • Las dependencias de software se mantienen actualizadas.
  • Se realizan pruebas de integridad del sistema tras cada actualización significativa.
  • Los mantenimientos de seguridad se realizan preferiblemente en horarios de bajo tráfico, con notificación previa a los Clientes.

11. Responsabilidad Compartida

La seguridad de un sistema integrado es responsabilidad compartida. El Cliente es responsable de:

  • Mantener actualizadas las credenciales de acceso a su base de datos (OpenCart/WordPress).
  • Notificar al Proveedor de inmediato si sospecha que sus credenciales han sido comprometidas.
  • Garantizar que su propio hosting y sitio web cuenten con medidas básicas de seguridad.
  • No compartir su API Key de SiteBot con terceros no autorizados.
  • Mantener actualizada su plataforma (OpenCart, WordPress) para reducir vulnerabilidades de integración.

12. Contacto de Seguridad

Para reportar vulnerabilidades, incidentes de seguridad o realizar consultas relacionadas con esta política:

  • Correo: info@smart506.com (asunto: SEGURIDAD - SITEBOT)
  • Teléfono urgente: +506 8871-0000

El Proveedor se compromete a responder reportes de seguridad en un plazo máximo de 4 horas hábiles.

Última Fecha de Actualización: 10 de April de 2026