Cumplimiento normativo
goMeetalk esta disenado para ayudarte a cumplir con regulaciones de privacidad y seguridad de datos.
GDPR
Reglamento General de Proteccion de Datos (UE)
SOC 2
Controles de seguridad implementados: MFA obligatorio, WORM audit, acceso condicional
ISO 27001
Gestion de seguridad de la informacion
HIPAA
Enforcement activo: MFA por rol, acceso condicional, audit WORM con hash chain (BAA disponible)
Audit logs
goMeetalk registra automaticamente mas de 30 tipos de eventos para auditoria:
Eventos de organizacion
- Cambios en nombre, logo y configuracion
- Creacion y eliminacion de workspaces
- Cambios de plan y facturacion
Eventos de miembros
- Invitaciones enviadas, aceptadas y revocadas
- Cambios de rol
- Suspension y reactivacion de usuarios
- Eliminacion de miembros
Eventos de seguridad
- Configuracion de SSO (creacion, actualizacion, eliminacion)
- Login SSO exitoso y fallido
- Generacion y revocacion de tokens SCIM
- Provision y deprovision de usuarios via SCIM
- Cambios en politicas de sesion
- Revocacion de sesiones
Eventos de BYOK
- Adicion de API keys
- Validacion de keys
- Eliminacion de keys
Estructura del audit log
| Campo | Descripcion |
|---|---|
timestamp |
Fecha y hora UTC del evento |
actor_type |
user, system, api |
actor_id |
ID del usuario que realizo la accion |
action |
Tipo de evento (ej: member.role_changed) |
target_type |
Tipo de recurso afectado |
target_id |
ID del recurso afectado |
ip_address |
IP desde donde se realizo la accion |
user_agent |
Navegador/cliente |
metadata |
Datos adicionales (sanitizados) |
Datos sensibles
Los audit logs nunca contienen contrasenas, tokens, API keys ni contenido de mensajes. Los datos sensibles se sanitizan automaticamente.
Integridad WORM y hash chain
Para organizaciones con requisitos HIPAA o SOC 2, los audit logs se almacenan en formato WORM (Write-Once-Read-Many) con proteccion de integridad:
- Append-only: Los registros no pueden modificarse ni eliminarse una vez escritos
- Hash chain SHA-256: Cada evento incluye el hash del evento anterior, creando una cadena verificable de integridad
- Deteccion de manipulacion: Cualquier alteracion de un registro rompe la cadena de hashes y se detecta automaticamente
- Legal hold: Los datos bajo retencion legal quedan exentos de la limpieza automatica por expiracion
MFA obligatorio por rol
Cuando se activa el modo HIPAA o SOC 2, se aplica autenticacion multifactor obligatoria:
- Por rol: Configurable para owner, admin, manager y/o member
- Bloqueo: Los usuarios sin MFA enrollado reciben un error 403 en endpoints protegidos
- Acceso condicional: Restricciones adicionales por IP, horario y confianza de dispositivo
Retencion de datos
| Plan | Retencion audit logs | Export |
|---|---|---|
| Business | 30 dias | No |
| Enterprise | 90 dias (configurable) | Si (CSV) |
Configurar retencion personalizada
Workspaces con permisos adecuados pueden configurar periodos de retencion personalizados:
- Audit logs: 90, 180, 365, 730, 2555 dias
- Transcripciones: Inmediato, 7, 30, 90 dias
- Datos de sala: Segun politica de la org
Legal hold
Enterprise soporta legal hold para preservar datos durante litigios o investigaciones:
- Los datos bajo legal hold no se eliminan aunque expire la retencion
- Se registra quien activo/desactivo el hold
- Contacta a [email protected] para activar
Importante
Legal hold es una funcion sensible. Se gestiona desde Compliance segun permisos del workspace (policies:write). Contacta a [email protected] para orientacion.
Exportar audit logs
- Ve a Perfil > Workspace > Audit Log
- Selecciona el rango de fechas
- Filtra por tipo de evento (opcional)
- Haz clic en "Exportar"
- El archivo CSV se genera automaticamente
El archivo se descarga inmediatamente. Para rangos grandes, recibiras un email cuando este listo.
Acceso a audit logs
- Owner - Acceso completo + export
- Admin - Acceso completo + export
- Manager - Lectura + export
- Member - Sin acceso