Actualizado el 6 de abril de 2026.
Ciberseguridad en Voicit
Compromiso con la seguridad
En Voicit, la seguridad no es una funcionalidad añadida: es un principio que guía cómo diseñamos, desarrollamos y operamos nuestra plataforma. Trabajamos para que las empresas puedan confiar en que los datos introducidos en la plataforma están protegidos en cada momento.
Nuestro compromiso se traduce en prácticas concretas: cifrado de datos en tránsito y en reposo, infraestructura alojada en la Unión Europea, controles de acceso estrictos y una hoja de ruta clara hacia las certificaciones más exigentes del sector.
Cómo protegemos los roles: Responsable y Encargado del tratamiento
Voicit actúa como encargado del tratamiento conforme al artículo 28 del RGPD. Esto significa que procesamos los datos personales de los candidatos por cuenta de la empresa cliente, que es quien decide qué datos se recogen, para qué finalidad y durante cuánto tiempo se conservan.
La empresa cliente (responsable del tratamiento):
- Define la finalidad del tratamiento.
- Decide qué información se introduce en la plataforma.
- Es quien informa a los participantes sobre el tratamiento de sus datos, conforme al artículo 13 del RGPD.
- Puede solicitar la eliminación de los datos en cualquier momento desde la propia plataforma.
Voicit (encargado del tratamiento):
- Procesa los datos exclusivamente según las instrucciones del cliente.
- Aplica las medidas técnicas y organizativas necesarias para proteger esos datos.
- No utiliza ningún dato para fines propios.
- Facilita el cumplimiento normativo del cliente proporcionando información transparente sobre sus prácticas de seguridad y sus subencargados.
Seguridad de la infraestructura
Cifrado
Todas las comunicaciones con la plataforma de Voicit están protegidas mediante cifrado TLS/SSL. Los datos sensibles se cifran tanto en tránsito como en reposo, asegurando que la información del candidato está protegida durante todo su ciclo de vida.
Almacenamiento
Los datos se almacenan en Google Cloud Storage, dentro de la Unión Europea, utilizando buckets de almacenamiento y bases de datos PostgreSQL con los estándares de seguridad y disponibilidad propios de la infraestructura de Google Cloud.
Servidores
La lógica de aplicación se ejecuta en Microsoft Azure, también en zona europea. Esta arquitectura nos permite combinar las fortalezas de ambos proveedores cloud manteniendo todos los datos dentro del Espacio Económico Europeo.
Red y acceso
El acceso a los sistemas internos de Voicit está restringido mediante controles de autenticación y autorización. Voicit soporta Google SSO, lo que permite a los usuarios autenticarse de forma segura sin necesidad de introducir credenciales adicionales en nuestra plataforma.
Seguridad de la aplicación
Desarrollo seguro
Voicit integra prácticas de seguridad en su ciclo de desarrollo, incluyendo revisión de código y control de acceso a los repositorios.
Tests de penetración
Voicit realiza tests de penetración de seguridad por terceros de forma anual para identificar y corregir posibles vulnerabilidades antes de que puedan ser explotadas.
Análisis de vulnerabilidades
Se llevan a cabo análisis de vulnerabilidad de red por terceros de forma anual, evaluando la robustez de la infraestructura frente a amenazas externas.
Gestión de datos y privacidad
Qué datos procesamos
Durante el uso de la plataforma, Voicit puede procesar los siguientes datos del candidato, según lo que la empresa cliente decida introducir:
- Datos personales: nombre, dirección de email y otros datos identificativos proporcionados por la empresa.
- Contenido del CV: información profesional y académica que la empresa comparta con la plataforma.
- Audio y voz: grabación de la entrevista realizada por el candidato.
- Transcripción: conversión a texto del contenido de la entrevista.
- Análisis e informes: evaluación generada con asistencia de inteligencia artificial a partir de la entrevista.
Conservación y eliminación de datos
Los datos de los participantes se conservan en la plataforma mientras la empresa cliente los necesite para sus procesos. La empresa cliente puede eliminar los datos en cualquier momento directamente desde la plataforma.
Voicit está trabajando activamente en implementar políticas automáticas de retención que permitan definir plazos de conservación y eliminar datos de forma programada una vez cumplido su propósito.
Derechos de los participantes
Los participantes cuyos datos se procesan a través de Voicit tienen los derechos reconocidos por el RGPD: acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición. Para ejercer estos derechos, el participante debe dirigirse a la empresa que gestiona su conversación, ya que es la responsable del tratamiento. Voicit colaborará con la empresa para atender cualquier solicitud en los plazos establecidos por la normativa.
Subencargados del tratamiento
Para prestar nuestro servicio, Voicit utiliza proveedores tecnológicos que actúan como subencargados del tratamiento. Todos ellos cumplen con los estándares de seguridad y privacidad exigidos por el RGPD:
| Subencargado | Finalidad | Ubicación |
|---|---|---|
| Google Cloud (GCS) | Almacenamiento de datos y bases de datos | UE |
| Microsoft Azure | Servidores de aplicación | UE |
| Google APIs | Procesamiento (speech-to-text, entre otros) | UE |
| OpenAI | Inteligencia artificial (análisis de entrevistas) | EE.UU.* |
| Google Gemini | Inteligencia artificial (alternativa en desarrollo) | UE |
| Stripe | Procesamiento de pagos | UE / EE.UU. |
| Mailjet | Comunicaciones por email | UE |
* Con cláusulas contractuales tipo (SCC) conforme al RGPD.
Nota sobre IA y privacidad: Voicit está desarrollando la integración con Google Gemini como alternativa a OpenAI para el procesamiento de inteligencia artificial. Al operar íntegramente dentro de la infraestructura europea de Google, Gemini ofrece garantías adicionales en materia de protección de datos bajo el RGPD. Nuestro objetivo es ofrecer a las empresas clientes la posibilidad de elegir qué proveedor de IA desean utilizar.
Certificaciones y cumplimiento normativo
Voicit opera conforme a los principios del RGPD y trabaja de forma continua en elevar sus estándares de seguridad. A continuación detallamos nuestro estado actual y nuestra hoja de ruta:
Cumplimiento activo
- RGPD (Reglamento General de Protección de Datos): Voicit opera como encargado del tratamiento conforme al RGPD. Aplicamos medidas técnicas y organizativas para proteger los datos personales, mantenemos infraestructura en la UE y ofrecemos transparencia sobre nuestros subencargados y prácticas de tratamiento.
En nuestra hoja de ruta
- ISO 27001 — Sistema de Gestión de Seguridad de la Información. Estándar internacional de referencia que certifica la existencia de un sistema formal para gestionar la seguridad de la información.
- SOC 2 — Controles de seguridad, disponibilidad y confidencialidad. Marco de referencia para evaluar los controles de seguridad en servicios cloud que almacenan datos de clientes.
- HIPAA — Protección de datos de salud. Estándar estadounidense aplicable a organizaciones que manejan información de salud protegida. Contemplado en nuestro desarrollo para ampliar los sectores a los que podemos dar servicio.
Cada paso en esta hoja de ruta responde a una decisión consciente de inversión en seguridad. Publicaremos aquí las actualizaciones conforme avancemos en cada certificación.
Documentación y recursos
Para facilitar la evaluación de Voicit por parte de equipos legales, de compliance o de seguridad, ponemos a disposición los siguientes recursos:
- Política de privacidad: https://voicit.com/politicas-de-privacidad/
- Contrato de Encargado del Tratamiento (DPA): Disponible próximamente. Si necesitas un DPA para iniciar la evaluación de Voicit, contacta con nosotros en soporte@voicit.com.
- Lista de subencargados: Disponible en esta misma página (sección anterior).
- Contacto de seguridad: Para reportar vulnerabilidades o consultas sobre seguridad, escríbenos a soporte@voicit.com.
Preguntas frecuentes
No. Voicit actúa como encargado del tratamiento. Tu empresa es la responsable y decide qué datos se recogen y para qué. Voicit los procesa siguiendo tus instrucciones.
Todos los datos se almacenan en infraestructura cloud ubicada en la Unión Europea (Google Cloud Storage y Microsoft Azure).
Sí. Como empresa cliente, puedes eliminar los datos de cualquier candidato directamente desde la plataforma en cualquier momento.
Los datos se envían a los proveedores de IA exclusivamente para generar la transcripción y el análisis de la entrevista. No se utilizan para entrenar modelos. Voicit está desarrollando la opción de usar Google Gemini como alternativa con procesamiento íntegramente europeo.
Actualmente cumplimos con el RGPD y aplicamos medidas de seguridad alineadas con estándares como ISO 27001 y SOC 2. La obtención formal de estas certificaciones está en nuestra hoja de ruta y publicaremos aquí cada avance.
Estamos formalizando nuestro DPA estándar. Si lo necesitas para iniciar la evaluación, contacta con nosotros y te lo facilitaremos.