SECURITY POLICY
LEADZPACE – DIGITAL INFRASTRUCTURE & AUTOMATION SERVICES
Last Updated: February 2026
1. INTRODUCTION
HILCORE GROUP LLC, operating under the brand LeadZpace ("Company," "we," "us," or "our"), is committed to maintaining the highest standards of security for our platform, infrastructure, and the data entrusted to us by our Clients.
This Security Policy describes the technical and organizational measures LeadZpace implements to protect the confidentiality, integrity, and availability of Client data and platform systems. This Policy applies to all LeadZpace systems, personnel, sub-processors, and Clients who access the Platform.
2. SCOPE
This Policy applies to:
The LeadZpace platform and all associated systems
All HILCORE GROUP LLC personnel with access to platform infrastructure or Client data
Third-party sub-processors and technology partners engaged by LeadZpace
All Clients and authorized users accessing the Platform
3. SECURITY GOVERNANCE
3.1 Responsibility
LeadZpace's leadership team holds ultimate responsibility for information security across all systems and operations. Internal security responsibilities are assigned to designated team members who oversee:
Security policy implementation and compliance
Incident detection and response
Vendor and sub-processor security assessments
Staff security training and awareness
3.2 Policy Review
This Security Policy is reviewed and updated at least once per year or following any significant security incident, material platform change, or applicable regulatory update.
3.3 Risk Management
LeadZpace conducts periodic risk assessments to identify, evaluate, and mitigate security risks to platform infrastructure and Client data. Risk assessments inform security investment decisions and control implementations.
4. DATA ENCRYPTION
4.1 Encryption in Transit
All data transmitted between Clients, end users, and the LeadZpace platform is protected using:
TLS 1.2 or higher (Transport Layer Security) for all web and API communications
HTTPS enforced across all platform endpoints
Secure WebSocket connections (WSS) where applicable
4.2 Encryption at Rest
All data stored within the LeadZpace platform infrastructure is encrypted at rest using:
AES-256 encryption standard for stored databases and files
Encrypted backups with equivalent protection levels
4.3 Key Management
Encryption keys are managed using industry best practices, including:
Separation of encryption keys from encrypted data
Regular key rotation schedules
Restricted access to key management systems
5. ACCESS CONTROL
5.1 Principle of Least Privilege
LeadZpace applies the principle of least privilege across all internal systems. Personnel are granted access only to the specific systems, data, and tools necessary to perform their assigned job functions.
5.2 Role-Based Access Control (RBAC)
Access to platform infrastructure, Client data, and administrative systems is governed by role-based access controls. Access levels are defined, documented, and reviewed quarterly.
5.3 Multi-Factor Authentication (MFA)
Multi-factor authentication is required for:
All LeadZpace personnel accessing internal systems and administrative consoles
All Client accounts accessing the Platform (strongly recommended and available for all users)
All access to cloud infrastructure and server environments
5.4 Password Policy
All system and account passwords must comply with the following standards:
Minimum length of 12 characters
Combination of uppercase, lowercase, numbers, and special characters
Prohibition of password reuse for the last 12 cycles
Mandatory password reset following any suspected compromise
5.5 Access Reviews
Access rights for all personnel are reviewed at minimum on a quarterly basis. Access is immediately revoked upon termination of employment or change of role.
6. INFRASTRUCTURE SECURITY
6.1 Cloud Infrastructure
LeadZpace operates its platform on enterprise-grade cloud infrastructure hosted in the United States, utilizing providers that maintain internationally recognized security certifications including SOC 2 Type II and ISO 27001.
6.2 Network Security
LeadZpace's network infrastructure is protected through:
Firewalls and network segmentation to isolate sensitive systems
Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS)
DDoS (Distributed Denial of Service) mitigation services
Web Application Firewall (WAF) protecting all public-facing endpoints
Regular network vulnerability scanning
6.3 Server Hardening
All production servers undergo hardening procedures including:
Removal of unnecessary services and ports
Application of security patches and updates on a defined schedule
Baseline security configuration standards applied to all systems
Logging and monitoring of all administrative actions
6.4 Physical Security
LeadZpace's cloud infrastructure providers maintain physical security controls for data centers including:
24/7 physical access controls and surveillance
Biometric access restrictions
Environmental controls (fire suppression, climate control, power redundancy)
7. APPLICATION SECURITY
7.1 Secure Development Practices
LeadZpace follows secure software development practices including:
Security requirements integrated into the development lifecycle
Code review processes prior to production deployment
Input validation and output encoding to prevent injection attacks
Protection against common vulnerabilities as defined by OWASP Top 10
7.2 Vulnerability Management
LeadZpace maintains an active vulnerability management program including:
Regular automated vulnerability scans of platform systems and applications
Periodic manual penetration testing by qualified security professionals
Timely remediation of identified vulnerabilities based on risk severity:
Critical vulnerabilities: Remediated within 24–72 hours
High vulnerabilities: Remediated within 7 days
Medium vulnerabilities: Remediated within 30 days
Low vulnerabilities: Remediated within 90 days
7.3 Patch Management
Security patches for operating systems, applications, and third-party libraries are applied according to a defined patch management schedule, prioritizing critical and high-severity patches.
8. DATA SECURITY
8.1 Data Classification
LeadZpace classifies data into the following categories:
Confidential: Client data, authentication credentials, payment data, and internal business information
Internal: Operational data, system logs, and platform analytics
Public: Marketing content, public documentation, and published policies
Security controls are applied in accordance with data classification levels.
8.2 Data Isolation
Client data is logically isolated within the platform to prevent unauthorized access between Client accounts. Each Client's data environment is segregated through access controls and data partitioning.
8.3 Payment Data Security
LeadZpace does not store, process, or transmit full payment card numbers. All payment processing is handled exclusively by PCI DSS-compliant third-party processors (Stripe, PayPal). LeadZpace only retains tokenized payment references provided by these processors.
8.4 Sensitive Data Handling
Categories of sensitive personal data (health records, government identification, financial account details) must not be uploaded to the Platform without prior written authorization from LeadZpace. Unauthorized upload of sensitive data may result in immediate account suspension.
9. SECURITY MONITORING AND LOGGING
9.1 Continuous Monitoring
LeadZpace maintains continuous security monitoring of its platform infrastructure, including:
Real-time monitoring of system performance, availability, and anomalies
Automated alerting for suspicious activity, unauthorized access attempts, and policy violations
Security Information and Event Management (SIEM) tools for centralized log analysis
9.2 Audit Logging
All significant system events are logged, including:
User authentication events (successful and failed login attempts)
Administrative actions and configuration changes
Data access and modification events
API usage and integration activity
Audit logs are retained for a minimum of 12 months and are protected against unauthorized modification or deletion.
9.3 Security Alerts
Automated security alerts are configured for:
Multiple failed authentication attempts
Unusual access patterns or geographic anomalies
Unexpected data export volumes
Changes to critical system configurations
10. INCIDENT RESPONSE
10.1 Incident Response Plan
LeadZpace maintains a documented Incident Response Plan (IRP) that defines procedures for:
Detection and identification of security incidents
Containment and eradication of threats
Recovery and restoration of affected systems
Post-incident analysis and remediation
10.2 Incident Classification
Security incidents are classified by severity:
Critical: Active breach with confirmed data exposure or platform compromise
High: Suspected breach or significant service disruption
Medium: Contained security event with limited impact
Low: Minor policy violation or anomaly with no data impact
10.3 Client Notification
In the event of a security incident that affects Client data or platform availability:
LeadZpace will notify affected Clients within 72 hours of confirming the incident
Notifications will include the nature of the incident, data categories potentially affected, and immediate remediation steps taken
LeadZpace will provide regular updates throughout the incident response process
A post-incident report will be made available to affected Clients upon request following resolution
10.4 Regulatory Notification
Where applicable laws require notification to regulatory authorities (e.g., GDPR supervisory authorities), LeadZpace will fulfill such obligations within legally mandated timeframes and will cooperate with Clients to support their own notification obligations.
11. BUSINESS CONTINUITY AND DISASTER RECOVERY
11.1 Business Continuity Planning
LeadZpace maintains a Business Continuity Plan (BCP) to ensure the continued delivery of critical services in the event of a significant disruption, including:
Natural disasters and infrastructure failures
Cyberattacks and security incidents
Third-party provider outages
11.2 Data Backups
Client data is backed up on a regular schedule using the following standards:
Automated daily backups of all Client data
Backup data encrypted using AES-256 and stored in geographically separate locations
Backup integrity verified through regular restoration testing
Backup retention period of minimum 30 days
11.3 Recovery Objectives
LeadZpace targets the following recovery objectives:
Recovery Time Objective (RTO): Platform restoration within 4–8 hours following a critical incident
Recovery Point Objective (RPO): Maximum data loss of 24 hours in a worst-case scenario
11.4 Availability Target
LeadZpace targets a platform availability of 99.5% monthly uptime, excluding scheduled maintenance windows.
12. THIRD-PARTY AND VENDOR SECURITY
12.1 Sub-processor Security Assessment
Before engaging any third-party sub-processor with access to Client data or platform systems, LeadZpace conducts a security assessment evaluating:
The vendor's security certifications and compliance status
Data handling and processing practices
Incident response and breach notification procedures
Contractual data protection obligations
12.2 Contractual Requirements
All sub-processors with access to Client data are required to:
Execute a Data Processing Agreement (DPA) with LeadZpace
Implement security standards equivalent to or exceeding those described in this Policy
Notify LeadZpace of any security incidents affecting LeadZpace or Client data within 48 hours
Submit to security audits or assessments upon reasonable request
12.3 Third-Party Integration Security
When Clients connect third-party integrations (Meta, WhatsApp, Google, Stripe, Zoom, etc.):
Connections are established using OAuth 2.0 or equivalent secure authorization protocols
API keys and credentials are stored in encrypted vaults
Integration access is scoped to the minimum permissions required for functionality
13. PERSONNEL SECURITY
13.1 Background Screening
LeadZpace conducts appropriate background screening for personnel with access to Client data or critical systems, in accordance with applicable laws.
13.2 Security Training
All LeadZpace personnel with access to platform systems or Client data receive:
Security awareness training upon onboarding
Annual refresher training on current threats, policies, and best practices
Specific training on phishing recognition and social engineering prevention
Role-specific security training for technical and administrative staff
13.3 Confidentiality Obligations
All personnel and contractors are required to sign confidentiality and non-disclosure agreements as a condition of engagement. Security obligations survive termination of employment or contract.
13.4 Security Policy Compliance
Failure to comply with LeadZpace's security policies may result in disciplinary action up to and including termination of employment or contract.
14. CLIENT SECURITY RESPONSIBILITIES
While LeadZpace implements robust security measures to protect the Platform, Clients are responsible for:
Maintaining the security of their account credentials and access tokens
Enabling and enforcing multi-factor authentication for all authorized users
Promptly notifying LeadZpace of any suspected unauthorized access to their account
Managing user permissions within their LeadZpace account responsibly
Ensuring their own devices and networks used to access the Platform are adequately secured
Complying with the Acceptable Use Policy and not uploading prohibited or sensitive data
Securing any API keys or integration credentials generated through the Platform
LeadZpace shall not be liable for security incidents resulting from the Client's failure to fulfill these responsibilities.
15. SECURITY CERTIFICATIONS AND COMPLIANCE
LeadZpace's infrastructure and operations are aligned with the following security frameworks and standards:
SOC 2 Type II (via cloud infrastructure providers)
ISO/IEC 27001 (via cloud infrastructure providers)
PCI DSS (via Stripe and PayPal for payment processing)
GDPR – General Data Protection Regulation (EU)
CCPA/CPRA – California Consumer Privacy Act
LGPD – Lei Geral de Proteção de Dados (Brazil)
OWASP Top 10 – Application security best practices
16. REPORTING SECURITY VULNERABILITIES
LeadZpace encourages responsible disclosure of any security vulnerabilities discovered in our platform or systems.
If you believe you have identified a security vulnerability, please:
Email our security team at: [email protected]
Include a detailed description of the vulnerability, steps to reproduce, and potential impact
Allow LeadZpace a reasonable period to investigate and remediate before any public disclosure
LeadZpace commits to:
Acknowledging receipt of vulnerability reports within 2 business days
Investigating all reported vulnerabilities promptly
Keeping the reporting party informed of remediation progress
Not pursuing legal action against good-faith security researchers acting in accordance with this disclosure policy
17. MODIFICATIONS TO THIS POLICY
LeadZpace reserves the right to update this Security Policy at any time to reflect changes in our security practices, technology, or applicable regulations. Material changes will be communicated to active Clients via email at least 30 days before taking effect.
18. CONTACT
For all security-related inquiries, vulnerability reports, or incident notifications:
LeadZpace Security Team
HILCORE GROUP LLC
Email: [email protected]
Website: https://leadzpace.com
LeadZpace — operated by HILCORE GROUP LLC
[email protected] | https://leadzpace.com
© 2026 HILCORE GROUP LLC. All rights reserved.
POLÍTICA DE SEGURIDAD
LEADZPACE – SERVICIOS DE INFRAESTRUCTURA DIGITAL Y AUTOMATIZACIÓN
Última actualización: Febrero 2026
1. INTRODUCCIÓN
HILCORE GROUP LLC, operando bajo la marca LeadZpace ("Empresa", "nosotros" o "nuestro"), está comprometida con el mantenimiento de los más altos estándares de seguridad para nuestra plataforma, infraestructura y los datos que nuestros Clientes nos confían.
Esta Política de Seguridad describe las medidas técnicas y organizativas que LeadZpace implementa para proteger la confidencialidad, integridad y disponibilidad de los datos de los Clientes y los sistemas de la plataforma. Esta Política aplica a todos los sistemas de LeadZpace, personal, sub-encargados y Clientes que acceden a la Plataforma.
2. ALCANCE
Esta Política aplica a:
La plataforma LeadZpace y todos los sistemas asociados
Todo el personal de HILCORE GROUP LLC con acceso a la infraestructura de la plataforma o datos de Clientes
Sub-encargados y socios tecnológicos de terceros contratados por LeadZpace
Todos los Clientes y usuarios autorizados que acceden a la Plataforma
3. GOBERNANZA DE SEGURIDAD
3.1 Responsabilidad
El equipo de liderazgo de LeadZpace tiene la responsabilidad final sobre la seguridad de la información en todos los sistemas y operaciones. Las responsabilidades de seguridad internas están asignadas a miembros designados del equipo que supervisan:
Implementación y cumplimiento de políticas de seguridad
Detección y respuesta a incidentes
Evaluaciones de seguridad de proveedores y sub-encargados
Capacitación y concientización en seguridad del personal
3.2 Revisión de la Política
Esta Política de Seguridad se revisa y actualiza al menos una vez al año o tras cualquier incidente de seguridad significativo, cambio material en la plataforma o actualización regulatoria aplicable.
3.3 Gestión de Riesgos
LeadZpace realiza evaluaciones periódicas de riesgos para identificar, evaluar y mitigar los riesgos de seguridad para la infraestructura de la plataforma y los datos de los Clientes. Las evaluaciones de riesgos informan las decisiones de inversión en seguridad y la implementación de controles.
4. CIFRADO DE DATOS
4.1 Cifrado en Tránsito
Todos los datos transmitidos entre los Clientes, usuarios finales y la plataforma LeadZpace están protegidos mediante:
TLS 1.2 o superior (Transport Layer Security) para todas las comunicaciones web y API
HTTPS aplicado en todos los endpoints de la plataforma
Conexiones WebSocket seguras (WSS) donde aplique
4.2 Cifrado en Reposo
Todos los datos almacenados dentro de la infraestructura de la plataforma LeadZpace están cifrados en reposo mediante:
Estándar de cifrado AES-256 para bases de datos y archivos almacenados
Copias de seguridad cifradas con niveles de protección equivalentes
4.3 Gestión de Claves
Las claves de cifrado se gestionan siguiendo las mejores prácticas de la industria, incluyendo:
Separación de las claves de cifrado de los datos cifrados
Calendarios regulares de rotación de claves
Acceso restringido a los sistemas de gestión de claves
5. CONTROL DE ACCESO
5.1 Principio de Mínimo Privilegio
LeadZpace aplica el principio de mínimo privilegio en todos los sistemas internos. El personal recibe acceso únicamente a los sistemas, datos y herramientas específicos necesarios para desempeñar sus funciones asignadas.
5.2 Control de Acceso Basado en Roles (RBAC)
El acceso a la infraestructura de la plataforma, datos de Clientes y sistemas administrativos se rige por controles de acceso basados en roles. Los niveles de acceso se definen, documentan y revisan trimestralmente.
5.3 Autenticación Multifactor (MFA)
La autenticación multifactor es obligatoria para:
Todo el personal de LeadZpace que accede a sistemas internos y consolas administrativas
Todas las cuentas de Clientes que acceden a la Plataforma (fuertemente recomendada y disponible para todos los usuarios)
Todo acceso a infraestructura cloud y entornos de servidores
5.4 Política de Contraseñas
Todas las contraseñas de sistemas y cuentas deben cumplir con los siguientes estándares:
Longitud mínima de 12 caracteres
Combinación de mayúsculas, minúsculas, números y caracteres especiales
Prohibición de reutilización de contraseñas de los últimos 12 ciclos
Restablecimiento obligatorio de contraseña tras cualquier sospecha de compromiso
5.5 Revisiones de Acceso
Los derechos de acceso de todo el personal se revisan como mínimo de forma trimestral. El acceso se revoca de inmediato tras la terminación del empleo o cambio de rol.
6. SEGURIDAD DE LA INFRAESTRUCTURA
6.1 Infraestructura Cloud
LeadZpace opera su plataforma en infraestructura cloud de nivel empresarial alojada en los Estados Unidos, utilizando proveedores que mantienen certificaciones de seguridad reconocidas internacionalmente, incluyendo SOC 2 Tipo II e ISO 27001.
6.2 Seguridad de Red
La infraestructura de red de LeadZpace está protegida mediante:
Firewalls y segmentación de red para aislar sistemas sensibles
Sistemas de Detección de Intrusiones (IDS) y Sistemas de Prevención de Intrusiones (IPS)
Servicios de mitigación de ataques DDoS (Denegación de Servicio Distribuida)
Firewall de Aplicaciones Web (WAF) que protege todos los endpoints públicos
Análisis periódico de vulnerabilidades de red
6.3 Hardening de Servidores
Todos los servidores de producción son sometidos a procedimientos de hardening que incluyen:
Eliminación de servicios y puertos innecesarios
Aplicación de parches y actualizaciones de seguridad según un calendario definido
Estándares de configuración de seguridad base aplicados a todos los sistemas
Registro y monitorización de todas las acciones administrativas
6.4 Seguridad Física
Los proveedores de infraestructura cloud de LeadZpace mantienen controles de seguridad física en sus centros de datos, incluyendo:
Controles de acceso físico y vigilancia 24/7
Restricciones de acceso biométrico
Controles ambientales (supresión de incendios, control climático, redundancia de energía)
7. SEGURIDAD DE APLICACIONES
7.1 Prácticas de Desarrollo Seguro
LeadZpace sigue prácticas de desarrollo de software seguro que incluyen:
Requisitos de seguridad integrados en el ciclo de vida del desarrollo
Procesos de revisión de código previos al despliegue en producción
Validación de entradas y codificación de salidas para prevenir ataques de inyección
Protección contra vulnerabilidades comunes según el OWASP Top 10
7.2 Gestión de Vulnerabilidades
LeadZpace mantiene un programa activo de gestión de vulnerabilidades que incluye:
Análisis automatizados periódicos de vulnerabilidades en sistemas y aplicaciones de la plataforma
Pruebas de penetración manuales periódicas realizadas por profesionales de seguridad calificados
Remediación oportuna de vulnerabilidades identificadas según la severidad del riesgo:
Vulnerabilidades críticas: Remediadas en 24–72 horas
Vulnerabilidades altas: Remediadas en 7 días
Vulnerabilidades medias: Remediadas en 30 días
Vulnerabilidades bajas: Remediadas en 90 días
7.3 Gestión de Parches
Los parches de seguridad para sistemas operativos, aplicaciones y librerías de terceros se aplican según un calendario de gestión de parches definido, priorizando los parches de severidad crítica y alta.
8. SEGURIDAD DE DATOS
8.1 Clasificación de Datos
LeadZpace clasifica los datos en las siguientes categorías:
Confidencial: Datos de Clientes, credenciales de autenticación, datos de pago e información empresarial interna
Interno: Datos operativos, registros del sistema y analítica de la plataforma
Público: Contenido de marketing, documentación pública y políticas publicadas
Los controles de seguridad se aplican de acuerdo con los niveles de clasificación de datos.
8.2 Aislamiento de Datos
Los datos de los Clientes están lógicamente aislados dentro de la plataforma para prevenir accesos no autorizados entre cuentas de Clientes. El entorno de datos de cada Cliente está segregado mediante controles de acceso y particionamiento de datos.
8.3 Seguridad de Datos de Pago
LeadZpace no almacena, procesa ni transmite números completos de tarjetas de pago. Todo el procesamiento de pagos es gestionado exclusivamente por procesadores de terceros conformes con PCI DSS (Stripe, PayPal). LeadZpace únicamente conserva referencias de pago tokenizadas proporcionadas por estos procesadores.
8.4 Manejo de Datos Sensibles
Las categorías de datos personales sensibles (historial médico, identificación gubernamental, detalles de cuentas financieras) no deben cargarse en la Plataforma sin autorización escrita previa de LeadZpace. La carga no autorizada de datos sensibles puede resultar en la suspensión inmediata de la cuenta.
9. MONITORIZACIÓN DE SEGURIDAD Y REGISTROS
9.1 Monitorización Continua
LeadZpace mantiene monitorización continua de seguridad de su infraestructura de plataforma, incluyendo:
Monitorización en tiempo real del rendimiento, disponibilidad y anomalías del sistema
Alertas automatizadas ante actividad sospechosa, intentos de acceso no autorizados y violaciones de políticas
Herramientas de Gestión de Información y Eventos de Seguridad (SIEM) para análisis centralizado de registros
9.2 Registros de Auditoría
Todos los eventos significativos del sistema quedan registrados, incluyendo:
Eventos de autenticación de usuarios (intentos de inicio de sesión exitosos y fallidos)
Acciones administrativas y cambios de configuración
Eventos de acceso y modificación de datos
Uso de API y actividad de integraciones
Los registros de auditoría se conservan por un mínimo de 12 meses y están protegidos contra modificación o eliminación no autorizada.
9.3 Alertas de Seguridad
Las alertas de seguridad automatizadas están configuradas para:
Múltiples intentos de autenticación fallidos
Patrones de acceso inusuales o anomalías geográficas
Volúmenes de exportación de datos inesperados
Cambios en configuraciones críticas del sistema
10. RESPUESTA A INCIDENTES
10.1 Plan de Respuesta a Incidentes
LeadZpace mantiene un Plan de Respuesta a Incidentes (PRI) documentado que define los procedimientos para:
Detección e identificación de incidentes de seguridad
Contención y erradicación de amenazas
Recuperación y restauración de sistemas afectados
Análisis post-incidente y remediación
10.2 Clasificación de Incidentes
Los incidentes de seguridad se clasifican por severidad:
Crítico: Brecha activa con exposición confirmada de datos o compromiso de la plataforma
Alto: Sospecha de brecha o interrupción significativa del servicio
Medio: Evento de seguridad contenido con impacto limitado
Bajo: Violación menor de políticas o anomalía sin impacto en datos
10.3 Notificación al Cliente
En caso de un incidente de seguridad que afecte los datos de los Clientes o la disponibilidad de la plataforma:
LeadZpace notificará a los Clientes afectados dentro de las 72 horas siguientes a la confirmación del incidente
Las notificaciones incluirán la naturaleza del incidente, las categorías de datos potencialmente afectados y los pasos de remediación inmediata adoptados
LeadZpace proporcionará actualizaciones periódicas durante todo el proceso de respuesta al incidente
Un informe post-incidente estará disponible para los Clientes afectados a solicitud, una vez resuelto el incidente
10.4 Notificación Regulatoria
Cuando las leyes aplicables exijan notificación a autoridades regulatorias (por ejemplo, autoridades de supervisión del GDPR), LeadZpace cumplirá con dichas obligaciones dentro de los plazos legalmente establecidos y cooperará con los Clientes para apoyar sus propias obligaciones de notificación.
11. CONTINUIDAD DEL NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
11.1 Planificación de Continuidad del Negocio
LeadZpace mantiene un Plan de Continuidad del Negocio (PCN) para garantizar la prestación continua de servicios críticos en caso de una interrupción significativa, incluyendo:
Desastres naturales y fallas de infraestructura
Ciberataques e incidentes de seguridad
Interrupciones de proveedores de terceros
11.2 Copias de Seguridad de Datos
Los datos de los Clientes se respaldan de forma regular siguiendo los siguientes estándares:
Copias de seguridad automatizadas diarias de todos los datos de Clientes
Datos de respaldo cifrados con AES-256 y almacenados en ubicaciones geográficamente separadas
Integridad de las copias de seguridad verificada mediante pruebas de restauración periódicas
Período de retención de copias de seguridad de mínimo 30 días
11.3 Objetivos de Recuperación
LeadZpace tiene como objetivo los siguientes parámetros de recuperación:
Objetivo de Tiempo de Recuperación (RTO): Restauración de la plataforma en 4–8 horas tras un incidente crítico
Objetivo de Punto de Recuperación (RPO): Pérdida máxima de datos de 24 horas en el peor escenario
11.4 Objetivo de Disponibilidad
LeadZpace tiene como objetivo una disponibilidad de la plataforma del 99.5% de tiempo activo mensual, excluyendo ventanas de mantenimiento programado.
12. SEGURIDAD DE TERCEROS Y PROVEEDORES
12.1 Evaluación de Seguridad de Sub-encargados
Antes de contratar a cualquier sub-encargado con acceso a datos de Clientes o sistemas de la plataforma, LeadZpace realiza una evaluación de seguridad que evalúa:
Las certificaciones de seguridad y estado de cumplimiento del proveedor
Prácticas de manejo y procesamiento de datos
Procedimientos de respuesta a incidentes y notificación de brechas
Obligaciones contractuales de protección de datos
12.2 Requisitos Contractuales
Todos los sub-encargados con acceso a datos de Clientes están obligados a:
Firmar un Acuerdo de Tratamiento de Datos (DPA) con LeadZpace
Implementar estándares de seguridad equivalentes o superiores a los descritos en esta Política
Notificar a LeadZpace cualquier incidente de seguridad que afecte a LeadZpace o datos de Clientes dentro de las 48 horas
Someterse a auditorías o evaluaciones de seguridad a solicitud razonable
12.3 Seguridad de Integraciones de Terceros
Cuando los Clientes conectan integraciones de terceros (Meta, WhatsApp, Google, Stripe, Zoom, etc.):
Las conexiones se establecen usando OAuth 2.0 o protocolos de autorización segura equivalentes
Las claves API y credenciales se almacenan en bóvedas cifradas
El acceso de integración se limita a los permisos mínimos requeridos para la funcionalidad
13. SEGURIDAD DEL PERSONAL
13.1 Verificación de Antecedentes
LeadZpace realiza verificaciones de antecedentes apropiadas para el personal con acceso a datos de Clientes o sistemas críticos, de conformidad con las leyes aplicables.
13.2 Capacitación en Seguridad
Todo el personal de LeadZpace con acceso a sistemas de la plataforma o datos de Clientes recibe:
Capacitación en concientización de seguridad al momento de la incorporación
Capacitación anual de actualización sobre amenazas actuales, políticas y mejores prácticas
Capacitación específica en reconocimiento de phishing y prevención de ingeniería social
Capacitación en seguridad específica para el rol para personal técnico y administrativo
13.3 Obligaciones de Confidencialidad
Todo el personal y los contratistas deben firmar acuerdos de confidencialidad y no divulgación como condición de contratación. Las obligaciones de seguridad subsisten tras la terminación del empleo o contrato.
13.4 Cumplimiento de la Política de Seguridad
El incumplimiento de las políticas de seguridad de LeadZpace puede resultar en medidas disciplinarias que van hasta la terminación del empleo o contrato.
14. RESPONSABILIDADES DE SEGURIDAD DEL CLIENTE
Si bien LeadZpace implementa medidas de seguridad robustas para proteger la Plataforma, los Clientes son responsables de:
Mantener la seguridad de sus credenciales de cuenta y tokens de acceso
Habilitar y aplicar la autenticación multifactor para todos los usuarios autorizados
Notificar de inmediato a LeadZpace cualquier sospecha de acceso no autorizado a su cuenta
Gestionar los permisos de usuario dentro de su cuenta LeadZpace de forma responsable
Garantizar que sus propios dispositivos y redes utilizados para acceder a la Plataforma estén adecuadamente protegidos
Cumplir con la Política de Uso Aceptable y no cargar datos prohibidos o sensibles
Proteger cualquier clave API o credencial de integración generada a través de la Plataforma
LeadZpace no será responsable por incidentes de seguridad resultantes del incumplimiento de estas responsabilidades por parte del Cliente.
15. CERTIFICACIONES Y CUMPLIMIENTO DE SEGURIDAD
La infraestructura y operaciones de LeadZpace están alineadas con los siguientes marcos y estándares de seguridad:
SOC 2 Tipo II (a través de proveedores de infraestructura cloud)
ISO/IEC 27001 (a través de proveedores de infraestructura cloud)
PCI DSS (a través de Stripe y PayPal para procesamiento de pagos)
GDPR – Reglamento General de Protección de Datos (UE)
CCPA/CPRA – Ley de Privacidad del Consumidor de California
LGPD – Lei Geral de Proteção de Dados (Brasil)
OWASP Top 10 – Mejores prácticas de seguridad de aplicaciones
16. REPORTE DE VULNERABILIDADES DE SEGURIDAD
LeadZpace fomenta la divulgación responsable de cualquier vulnerabilidad de seguridad descubierta en nuestra plataforma o sistemas.
Si considera haber identificado una vulnerabilidad de seguridad, por favor:
Envíe un correo a nuestro equipo de seguridad: [email protected]
Incluya una descripción detallada de la vulnerabilidad, pasos para reproducirla e impacto potencial
Permita a LeadZpace un período razonable para investigar y remediar antes de cualquier divulgación pública
LeadZpace se compromete a:
Acusar recibo de los reportes de vulnerabilidades dentro de los 2 días hábiles siguientes
Investigar todas las vulnerabilidades reportadas de forma oportuna
Mantener informado al reportante sobre el progreso de la remediación
No emprender acciones legales contra investigadores de seguridad de buena fe que actúen conforme a esta política de divulgación
17. MODIFICACIONES A ESTA POLÍTICA
LeadZpace se reserva el derecho de actualizar esta Política de Seguridad en cualquier momento para reflejar cambios en nuestras prácticas de seguridad, tecnología o regulaciones aplicables. Los cambios sustanciales serán comunicados a los Clientes activos por correo electrónico al menos 30 días antes de entrar en vigor.
18. CONTACTO
Para todas las consultas relacionadas con seguridad, reportes de vulnerabilidades o notificaciones de incidentes:
Equipo de Seguridad de LeadZpace
HILCORE GROUP LLC
Correo electrónico: [email protected]
Sitio web: https://leadzpace.com
LeadZpace — operado por HILCORE GROUP LLC
[email protected] | https://leadzpace.com
© 2026 HILCORE GROUP LLC. Todos los derechos reservados.
SECURITY POLICY
LEADZPACE – DIGITAL INFRASTRUCTURE & AUTOMATION SERVICES
Last Updated: February 2026
1. INTRODUCTION
HILCORE GROUP LLC, operating under the brand LeadZpace ("Company," "we," "us," or "our"), is committed to maintaining the highest standards of security for our platform, infrastructure, and the data entrusted to us by our Clients.
This Security Policy describes the technical and organizational measures LeadZpace implements to protect the confidentiality, integrity, and availability of Client data and platform systems. This Policy applies to all LeadZpace systems, personnel, sub-processors, and Clients who access the Platform.
2. SCOPE
This Policy applies to:
The LeadZpace platform and all associated systems
All HILCORE GROUP LLC personnel with access to platform infrastructure or Client data
Third-party sub-processors and technology partners engaged by LeadZpace
All Clients and authorized users accessing the Platform
3. SECURITY GOVERNANCE
3.1 Responsibility
LeadZpace's leadership team holds ultimate responsibility for information security across all systems and operations. Internal security responsibilities are assigned to designated team members who oversee:
Security policy implementation and compliance
Incident detection and response
Vendor and sub-processor security assessments
Staff security training and awareness
3.2 Policy Review
This Security Policy is reviewed and updated at least once per year or following any significant security incident, material platform change, or applicable regulatory update.
3.3 Risk Management
LeadZpace conducts periodic risk assessments to identify, evaluate, and mitigate security risks to platform infrastructure and Client data. Risk assessments inform security investment decisions and control implementations.
4. DATA ENCRYPTION
4.1 Encryption in Transit
All data transmitted between Clients, end users, and the LeadZpace platform is protected using:
TLS 1.2 or higher (Transport Layer Security) for all web and API communications
HTTPS enforced across all platform endpoints
Secure WebSocket connections (WSS) where applicable
4.2 Encryption at Rest
All data stored within the LeadZpace platform infrastructure is encrypted at rest using:
AES-256 encryption standard for stored databases and files
Encrypted backups with equivalent protection levels
4.3 Key Management
Encryption keys are managed using industry best practices, including:
Separation of encryption keys from encrypted data
Regular key rotation schedules
Restricted access to key management systems
5. ACCESS CONTROL
5.1 Principle of Least Privilege
LeadZpace applies the principle of least privilege across all internal systems. Personnel are granted access only to the specific systems, data, and tools necessary to perform their assigned job functions.
5.2 Role-Based Access Control (RBAC)
Access to platform infrastructure, Client data, and administrative systems is governed by role-based access controls. Access levels are defined, documented, and reviewed quarterly.
5.3 Multi-Factor Authentication (MFA)
Multi-factor authentication is required for:
All LeadZpace personnel accessing internal systems and administrative consoles
All Client accounts accessing the Platform (strongly recommended and available for all users)
All access to cloud infrastructure and server environments
5.4 Password Policy
All system and account passwords must comply with the following standards:
Minimum length of 12 characters
Combination of uppercase, lowercase, numbers, and special characters
Prohibition of password reuse for the last 12 cycles
Mandatory password reset following any suspected compromise
5.5 Access Reviews
Access rights for all personnel are reviewed at minimum on a quarterly basis. Access is immediately revoked upon termination of employment or change of role.
6. INFRASTRUCTURE SECURITY
6.1 Cloud Infrastructure
LeadZpace operates its platform on enterprise-grade cloud infrastructure hosted in the United States, utilizing providers that maintain internationally recognized security certifications including SOC 2 Type II and ISO 27001.
6.2 Network Security
LeadZpace's network infrastructure is protected through:
Firewalls and network segmentation to isolate sensitive systems
Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS)
DDoS (Distributed Denial of Service) mitigation services
Web Application Firewall (WAF) protecting all public-facing endpoints
Regular network vulnerability scanning
6.3 Server Hardening
All production servers undergo hardening procedures including:
Removal of unnecessary services and ports
Application of security patches and updates on a defined schedule
Baseline security configuration standards applied to all systems
Logging and monitoring of all administrative actions
6.4 Physical Security
LeadZpace's cloud infrastructure providers maintain physical security controls for data centers including:
24/7 physical access controls and surveillance
Biometric access restrictions
Environmental controls (fire suppression, climate control, power redundancy)
7. APPLICATION SECURITY
7.1 Secure Development Practices
LeadZpace follows secure software development practices including:
Security requirements integrated into the development lifecycle
Code review processes prior to production deployment
Input validation and output encoding to prevent injection attacks
Protection against common vulnerabilities as defined by OWASP Top 10
7.2 Vulnerability Management
LeadZpace maintains an active vulnerability management program including:
Regular automated vulnerability scans of platform systems and applications
Periodic manual penetration testing by qualified security professionals
Timely remediation of identified vulnerabilities based on risk severity:
Critical vulnerabilities: Remediated within 24–72 hours
High vulnerabilities: Remediated within 7 days
Medium vulnerabilities: Remediated within 30 days
Low vulnerabilities: Remediated within 90 days
7.3 Patch Management
Security patches for operating systems, applications, and third-party libraries are applied according to a defined patch management schedule, prioritizing critical and high-severity patches.
8. DATA SECURITY
8.1 Data Classification
LeadZpace classifies data into the following categories:
Confidential: Client data, authentication credentials, payment data, and internal business information
Internal: Operational data, system logs, and platform analytics
Public: Marketing content, public documentation, and published policies
Security controls are applied in accordance with data classification levels.
8.2 Data Isolation
Client data is logically isolated within the platform to prevent unauthorized access between Client accounts. Each Client's data environment is segregated through access controls and data partitioning.
8.3 Payment Data Security
LeadZpace does not store, process, or transmit full payment card numbers. All payment processing is handled exclusively by PCI DSS-compliant third-party processors (Stripe, PayPal). LeadZpace only retains tokenized payment references provided by these processors.
8.4 Sensitive Data Handling
Categories of sensitive personal data (health records, government identification, financial account details) must not be uploaded to the Platform without prior written authorization from LeadZpace. Unauthorized upload of sensitive data may result in immediate account suspension.
9. SECURITY MONITORING AND LOGGING
9.1 Continuous Monitoring
LeadZpace maintains continuous security monitoring of its platform infrastructure, including:
Real-time monitoring of system performance, availability, and anomalies
Automated alerting for suspicious activity, unauthorized access attempts, and policy violations
Security Information and Event Management (SIEM) tools for centralized log analysis
9.2 Audit Logging
All significant system events are logged, including:
User authentication events (successful and failed login attempts)
Administrative actions and configuration changes
Data access and modification events
API usage and integration activity
Audit logs are retained for a minimum of 12 months and are protected against unauthorized modification or deletion.
9.3 Security Alerts
Automated security alerts are configured for:
Multiple failed authentication attempts
Unusual access patterns or geographic anomalies
Unexpected data export volumes
Changes to critical system configurations
10. INCIDENT RESPONSE
10.1 Incident Response Plan
LeadZpace maintains a documented Incident Response Plan (IRP) that defines procedures for:
Detection and identification of security incidents
Containment and eradication of threats
Recovery and restoration of affected systems
Post-incident analysis and remediation
10.2 Incident Classification
Security incidents are classified by severity:
Critical: Active breach with confirmed data exposure or platform compromise
High: Suspected breach or significant service disruption
Medium: Contained security event with limited impact
Low: Minor policy violation or anomaly with no data impact
10.3 Client Notification
In the event of a security incident that affects Client data or platform availability:
LeadZpace will notify affected Clients within 72 hours of confirming the incident
Notifications will include the nature of the incident, data categories potentially affected, and immediate remediation steps taken
LeadZpace will provide regular updates throughout the incident response process
A post-incident report will be made available to affected Clients upon request following resolution
10.4 Regulatory Notification
Where applicable laws require notification to regulatory authorities (e.g., GDPR supervisory authorities), LeadZpace will fulfill such obligations within legally mandated timeframes and will cooperate with Clients to support their own notification obligations.
11. BUSINESS CONTINUITY AND DISASTER RECOVERY
11.1 Business Continuity Planning
LeadZpace maintains a Business Continuity Plan (BCP) to ensure the continued delivery of critical services in the event of a significant disruption, including:
Natural disasters and infrastructure failures
Cyberattacks and security incidents
Third-party provider outages
11.2 Data Backups
Client data is backed up on a regular schedule using the following standards:
Automated daily backups of all Client data
Backup data encrypted using AES-256 and stored in geographically separate locations
Backup integrity verified through regular restoration testing
Backup retention period of minimum 30 days
11.3 Recovery Objectives
LeadZpace targets the following recovery objectives:
Recovery Time Objective (RTO): Platform restoration within 4–8 hours following a critical incident
Recovery Point Objective (RPO): Maximum data loss of 24 hours in a worst-case scenario
11.4 Availability Target
LeadZpace targets a platform availability of 99.5% monthly uptime, excluding scheduled maintenance windows.
12. THIRD-PARTY AND VENDOR SECURITY
12.1 Sub-processor Security Assessment
Before engaging any third-party sub-processor with access to Client data or platform systems, LeadZpace conducts a security assessment evaluating:
The vendor's security certifications and compliance status
Data handling and processing practices
Incident response and breach notification procedures
Contractual data protection obligations
12.2 Contractual Requirements
All sub-processors with access to Client data are required to:
Execute a Data Processing Agreement (DPA) with LeadZpace
Implement security standards equivalent to or exceeding those described in this Policy
Notify LeadZpace of any security incidents affecting LeadZpace or Client data within 48 hours
Submit to security audits or assessments upon reasonable request
12.3 Third-Party Integration Security
When Clients connect third-party integrations (Meta, WhatsApp, Google, Stripe, Zoom, etc.):
Connections are established using OAuth 2.0 or equivalent secure authorization protocols
API keys and credentials are stored in encrypted vaults
Integration access is scoped to the minimum permissions required for functionality
13. PERSONNEL SECURITY
13.1 Background Screening
LeadZpace conducts appropriate background screening for personnel with access to Client data or critical systems, in accordance with applicable laws.
13.2 Security Training
All LeadZpace personnel with access to platform systems or Client data receive:
Security awareness training upon onboarding
Annual refresher training on current threats, policies, and best practices
Specific training on phishing recognition and social engineering prevention
Role-specific security training for technical and administrative staff
13.3 Confidentiality Obligations
All personnel and contractors are required to sign confidentiality and non-disclosure agreements as a condition of engagement. Security obligations survive termination of employment or contract.
13.4 Security Policy Compliance
Failure to comply with LeadZpace's security policies may result in disciplinary action up to and including termination of employment or contract.
14. CLIENT SECURITY RESPONSIBILITIES
While LeadZpace implements robust security measures to protect the Platform, Clients are responsible for:
Maintaining the security of their account credentials and access tokens
Enabling and enforcing multi-factor authentication for all authorized users
Promptly notifying LeadZpace of any suspected unauthorized access to their account
Managing user permissions within their LeadZpace account responsibly
Ensuring their own devices and networks used to access the Platform are adequately secured
Complying with the Acceptable Use Policy and not uploading prohibited or sensitive data
Securing any API keys or integration credentials generated through the Platform
LeadZpace shall not be liable for security incidents resulting from the Client's failure to fulfill these responsibilities.
15. SECURITY CERTIFICATIONS AND COMPLIANCE
LeadZpace's infrastructure and operations are aligned with the following security frameworks and standards:
SOC 2 Type II (via cloud infrastructure providers)
ISO/IEC 27001 (via cloud infrastructure providers)
PCI DSS (via Stripe and PayPal for payment processing)
GDPR – General Data Protection Regulation (EU)
CCPA/CPRA – California Consumer Privacy Act
LGPD – Lei Geral de Proteção de Dados (Brazil)
OWASP Top 10 – Application security best practices
16. REPORTING SECURITY VULNERABILITIES
LeadZpace encourages responsible disclosure of any security vulnerabilities discovered in our platform or systems.
If you believe you have identified a security vulnerability, please:
Email our security team at: [email protected]
Include a detailed description of the vulnerability, steps to reproduce, and potential impact
Allow LeadZpace a reasonable period to investigate and remediate before any public disclosure
LeadZpace commits to:
Acknowledging receipt of vulnerability reports within 2 business days
Investigating all reported vulnerabilities promptly
Keeping the reporting party informed of remediation progress
Not pursuing legal action against good-faith security researchers acting in accordance with this disclosure policy
17. MODIFICATIONS TO THIS POLICY
LeadZpace reserves the right to update this Security Policy at any time to reflect changes in our security practices, technology, or applicable regulations. Material changes will be communicated to active Clients via email at least 30 days before taking effect.
18. CONTACT
For all security-related inquiries, vulnerability reports, or incident notifications:
LeadZpace Security Team
HILCORE GROUP LLC
Email: [email protected]
Website: https://leadzpace.com
LeadZpace — operated by HILCORE GROUP LLC
[email protected] | https://leadzpace.com
© 2026 HILCORE GROUP LLC. All rights reserved.
POLÍTICA DE SEGURIDAD
LEADZPACE – SERVICIOS DE INFRAESTRUCTURA DIGITAL Y AUTOMATIZACIÓN
Última actualización: Febrero 2026
1. INTRODUCCIÓN
HILCORE GROUP LLC, operando bajo la marca LeadZpace ("Empresa", "nosotros" o "nuestro"), está comprometida con el mantenimiento de los más altos estándares de seguridad para nuestra plataforma, infraestructura y los datos que nuestros Clientes nos confían.
Esta Política de Seguridad describe las medidas técnicas y organizativas que LeadZpace implementa para proteger la confidencialidad, integridad y disponibilidad de los datos de los Clientes y los sistemas de la plataforma. Esta Política aplica a todos los sistemas de LeadZpace, personal, sub-encargados y Clientes que acceden a la Plataforma.
2. ALCANCE
Esta Política aplica a:
La plataforma LeadZpace y todos los sistemas asociados
Todo el personal de HILCORE GROUP LLC con acceso a la infraestructura de la plataforma o datos de Clientes
Sub-encargados y socios tecnológicos de terceros contratados por LeadZpace
Todos los Clientes y usuarios autorizados que acceden a la Plataforma
3. GOBERNANZA DE SEGURIDAD
3.1 Responsabilidad
El equipo de liderazgo de LeadZpace tiene la responsabilidad final sobre la seguridad de la información en todos los sistemas y operaciones. Las responsabilidades de seguridad internas están asignadas a miembros designados del equipo que supervisan:
Implementación y cumplimiento de políticas de seguridad
Detección y respuesta a incidentes
Evaluaciones de seguridad de proveedores y sub-encargados
Capacitación y concientización en seguridad del personal
3.2 Revisión de la Política
Esta Política de Seguridad se revisa y actualiza al menos una vez al año o tras cualquier incidente de seguridad significativo, cambio material en la plataforma o actualización regulatoria aplicable.
3.3 Gestión de Riesgos
LeadZpace realiza evaluaciones periódicas de riesgos para identificar, evaluar y mitigar los riesgos de seguridad para la infraestructura de la plataforma y los datos de los Clientes. Las evaluaciones de riesgos informan las decisiones de inversión en seguridad y la implementación de controles.
4. CIFRADO DE DATOS
4.1 Cifrado en Tránsito
Todos los datos transmitidos entre los Clientes, usuarios finales y la plataforma LeadZpace están protegidos mediante:
TLS 1.2 o superior (Transport Layer Security) para todas las comunicaciones web y API
HTTPS aplicado en todos los endpoints de la plataforma
Conexiones WebSocket seguras (WSS) donde aplique
4.2 Cifrado en Reposo
Todos los datos almacenados dentro de la infraestructura de la plataforma LeadZpace están cifrados en reposo mediante:
Estándar de cifrado AES-256 para bases de datos y archivos almacenados
Copias de seguridad cifradas con niveles de protección equivalentes
4.3 Gestión de Claves
Las claves de cifrado se gestionan siguiendo las mejores prácticas de la industria, incluyendo:
Separación de las claves de cifrado de los datos cifrados
Calendarios regulares de rotación de claves
Acceso restringido a los sistemas de gestión de claves
5. CONTROL DE ACCESO
5.1 Principio de Mínimo Privilegio
LeadZpace aplica el principio de mínimo privilegio en todos los sistemas internos. El personal recibe acceso únicamente a los sistemas, datos y herramientas específicos necesarios para desempeñar sus funciones asignadas.
5.2 Control de Acceso Basado en Roles (RBAC)
El acceso a la infraestructura de la plataforma, datos de Clientes y sistemas administrativos se rige por controles de acceso basados en roles. Los niveles de acceso se definen, documentan y revisan trimestralmente.
5.3 Autenticación Multifactor (MFA)
La autenticación multifactor es obligatoria para:
Todo el personal de LeadZpace que accede a sistemas internos y consolas administrativas
Todas las cuentas de Clientes que acceden a la Plataforma (fuertemente recomendada y disponible para todos los usuarios)
Todo acceso a infraestructura cloud y entornos de servidores
5.4 Política de Contraseñas
Todas las contraseñas de sistemas y cuentas deben cumplir con los siguientes estándares:
Longitud mínima de 12 caracteres
Combinación de mayúsculas, minúsculas, números y caracteres especiales
Prohibición de reutilización de contraseñas de los últimos 12 ciclos
Restablecimiento obligatorio de contraseña tras cualquier sospecha de compromiso
5.5 Revisiones de Acceso
Los derechos de acceso de todo el personal se revisan como mínimo de forma trimestral. El acceso se revoca de inmediato tras la terminación del empleo o cambio de rol.
6. SEGURIDAD DE LA INFRAESTRUCTURA
6.1 Infraestructura Cloud
LeadZpace opera su plataforma en infraestructura cloud de nivel empresarial alojada en los Estados Unidos, utilizando proveedores que mantienen certificaciones de seguridad reconocidas internacionalmente, incluyendo SOC 2 Tipo II e ISO 27001.
6.2 Seguridad de Red
La infraestructura de red de LeadZpace está protegida mediante:
Firewalls y segmentación de red para aislar sistemas sensibles
Sistemas de Detección de Intrusiones (IDS) y Sistemas de Prevención de Intrusiones (IPS)
Servicios de mitigación de ataques DDoS (Denegación de Servicio Distribuida)
Firewall de Aplicaciones Web (WAF) que protege todos los endpoints públicos
Análisis periódico de vulnerabilidades de red
6.3 Hardening de Servidores
Todos los servidores de producción son sometidos a procedimientos de hardening que incluyen:
Eliminación de servicios y puertos innecesarios
Aplicación de parches y actualizaciones de seguridad según un calendario definido
Estándares de configuración de seguridad base aplicados a todos los sistemas
Registro y monitorización de todas las acciones administrativas
6.4 Seguridad Física
Los proveedores de infraestructura cloud de LeadZpace mantienen controles de seguridad física en sus centros de datos, incluyendo:
Controles de acceso físico y vigilancia 24/7
Restricciones de acceso biométrico
Controles ambientales (supresión de incendios, control climático, redundancia de energía)
7. SEGURIDAD DE APLICACIONES
7.1 Prácticas de Desarrollo Seguro
LeadZpace sigue prácticas de desarrollo de software seguro que incluyen:
Requisitos de seguridad integrados en el ciclo de vida del desarrollo
Procesos de revisión de código previos al despliegue en producción
Validación de entradas y codificación de salidas para prevenir ataques de inyección
Protección contra vulnerabilidades comunes según el OWASP Top 10
7.2 Gestión de Vulnerabilidades
LeadZpace mantiene un programa activo de gestión de vulnerabilidades que incluye:
Análisis automatizados periódicos de vulnerabilidades en sistemas y aplicaciones de la plataforma
Pruebas de penetración manuales periódicas realizadas por profesionales de seguridad calificados
Remediación oportuna de vulnerabilidades identificadas según la severidad del riesgo:
Vulnerabilidades críticas: Remediadas en 24–72 horas
Vulnerabilidades altas: Remediadas en 7 días
Vulnerabilidades medias: Remediadas en 30 días
Vulnerabilidades bajas: Remediadas en 90 días
7.3 Gestión de Parches
Los parches de seguridad para sistemas operativos, aplicaciones y librerías de terceros se aplican según un calendario de gestión de parches definido, priorizando los parches de severidad crítica y alta.
8. SEGURIDAD DE DATOS
8.1 Clasificación de Datos
LeadZpace clasifica los datos en las siguientes categorías:
Confidencial: Datos de Clientes, credenciales de autenticación, datos de pago e información empresarial interna
Interno: Datos operativos, registros del sistema y analítica de la plataforma
Público: Contenido de marketing, documentación pública y políticas publicadas
Los controles de seguridad se aplican de acuerdo con los niveles de clasificación de datos.
8.2 Aislamiento de Datos
Los datos de los Clientes están lógicamente aislados dentro de la plataforma para prevenir accesos no autorizados entre cuentas de Clientes. El entorno de datos de cada Cliente está segregado mediante controles de acceso y particionamiento de datos.
8.3 Seguridad de Datos de Pago
LeadZpace no almacena, procesa ni transmite números completos de tarjetas de pago. Todo el procesamiento de pagos es gestionado exclusivamente por procesadores de terceros conformes con PCI DSS (Stripe, PayPal). LeadZpace únicamente conserva referencias de pago tokenizadas proporcionadas por estos procesadores.
8.4 Manejo de Datos Sensibles
Las categorías de datos personales sensibles (historial médico, identificación gubernamental, detalles de cuentas financieras) no deben cargarse en la Plataforma sin autorización escrita previa de LeadZpace. La carga no autorizada de datos sensibles puede resultar en la suspensión inmediata de la cuenta.
9. MONITORIZACIÓN DE SEGURIDAD Y REGISTROS
9.1 Monitorización Continua
LeadZpace mantiene monitorización continua de seguridad de su infraestructura de plataforma, incluyendo:
Monitorización en tiempo real del rendimiento, disponibilidad y anomalías del sistema
Alertas automatizadas ante actividad sospechosa, intentos de acceso no autorizados y violaciones de políticas
Herramientas de Gestión de Información y Eventos de Seguridad (SIEM) para análisis centralizado de registros
9.2 Registros de Auditoría
Todos los eventos significativos del sistema quedan registrados, incluyendo:
Eventos de autenticación de usuarios (intentos de inicio de sesión exitosos y fallidos)
Acciones administrativas y cambios de configuración
Eventos de acceso y modificación de datos
Uso de API y actividad de integraciones
Los registros de auditoría se conservan por un mínimo de 12 meses y están protegidos contra modificación o eliminación no autorizada.
9.3 Alertas de Seguridad
Las alertas de seguridad automatizadas están configuradas para:
Múltiples intentos de autenticación fallidos
Patrones de acceso inusuales o anomalías geográficas
Volúmenes de exportación de datos inesperados
Cambios en configuraciones críticas del sistema
10. RESPUESTA A INCIDENTES
10.1 Plan de Respuesta a Incidentes
LeadZpace mantiene un Plan de Respuesta a Incidentes (PRI) documentado que define los procedimientos para:
Detección e identificación de incidentes de seguridad
Contención y erradicación de amenazas
Recuperación y restauración de sistemas afectados
Análisis post-incidente y remediación
10.2 Clasificación de Incidentes
Los incidentes de seguridad se clasifican por severidad:
Crítico: Brecha activa con exposición confirmada de datos o compromiso de la plataforma
Alto: Sospecha de brecha o interrupción significativa del servicio
Medio: Evento de seguridad contenido con impacto limitado
Bajo: Violación menor de políticas o anomalía sin impacto en datos
10.3 Notificación al Cliente
En caso de un incidente de seguridad que afecte los datos de los Clientes o la disponibilidad de la plataforma:
LeadZpace notificará a los Clientes afectados dentro de las 72 horas siguientes a la confirmación del incidente
Las notificaciones incluirán la naturaleza del incidente, las categorías de datos potencialmente afectados y los pasos de remediación inmediata adoptados
LeadZpace proporcionará actualizaciones periódicas durante todo el proceso de respuesta al incidente
Un informe post-incidente estará disponible para los Clientes afectados a solicitud, una vez resuelto el incidente
10.4 Notificación Regulatoria
Cuando las leyes aplicables exijan notificación a autoridades regulatorias (por ejemplo, autoridades de supervisión del GDPR), LeadZpace cumplirá con dichas obligaciones dentro de los plazos legalmente establecidos y cooperará con los Clientes para apoyar sus propias obligaciones de notificación.
11. CONTINUIDAD DEL NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
11.1 Planificación de Continuidad del Negocio
LeadZpace mantiene un Plan de Continuidad del Negocio (PCN) para garantizar la prestación continua de servicios críticos en caso de una interrupción significativa, incluyendo:
Desastres naturales y fallas de infraestructura
Ciberataques e incidentes de seguridad
Interrupciones de proveedores de terceros
11.2 Copias de Seguridad de Datos
Los datos de los Clientes se respaldan de forma regular siguiendo los siguientes estándares:
Copias de seguridad automatizadas diarias de todos los datos de Clientes
Datos de respaldo cifrados con AES-256 y almacenados en ubicaciones geográficamente separadas
Integridad de las copias de seguridad verificada mediante pruebas de restauración periódicas
Período de retención de copias de seguridad de mínimo 30 días
11.3 Objetivos de Recuperación
LeadZpace tiene como objetivo los siguientes parámetros de recuperación:
Objetivo de Tiempo de Recuperación (RTO): Restauración de la plataforma en 4–8 horas tras un incidente crítico
Objetivo de Punto de Recuperación (RPO): Pérdida máxima de datos de 24 horas en el peor escenario
11.4 Objetivo de Disponibilidad
LeadZpace tiene como objetivo una disponibilidad de la plataforma del 99.5% de tiempo activo mensual, excluyendo ventanas de mantenimiento programado.
12. SEGURIDAD DE TERCEROS Y PROVEEDORES
12.1 Evaluación de Seguridad de Sub-encargados
Antes de contratar a cualquier sub-encargado con acceso a datos de Clientes o sistemas de la plataforma, LeadZpace realiza una evaluación de seguridad que evalúa:
Las certificaciones de seguridad y estado de cumplimiento del proveedor
Prácticas de manejo y procesamiento de datos
Procedimientos de respuesta a incidentes y notificación de brechas
Obligaciones contractuales de protección de datos
12.2 Requisitos Contractuales
Todos los sub-encargados con acceso a datos de Clientes están obligados a:
Firmar un Acuerdo de Tratamiento de Datos (DPA) con LeadZpace
Implementar estándares de seguridad equivalentes o superiores a los descritos en esta Política
Notificar a LeadZpace cualquier incidente de seguridad que afecte a LeadZpace o datos de Clientes dentro de las 48 horas
Someterse a auditorías o evaluaciones de seguridad a solicitud razonable
12.3 Seguridad de Integraciones de Terceros
Cuando los Clientes conectan integraciones de terceros (Meta, WhatsApp, Google, Stripe, Zoom, etc.):
Las conexiones se establecen usando OAuth 2.0 o protocolos de autorización segura equivalentes
Las claves API y credenciales se almacenan en bóvedas cifradas
El acceso de integración se limita a los permisos mínimos requeridos para la funcionalidad
13. SEGURIDAD DEL PERSONAL
13.1 Verificación de Antecedentes
LeadZpace realiza verificaciones de antecedentes apropiadas para el personal con acceso a datos de Clientes o sistemas críticos, de conformidad con las leyes aplicables.
13.2 Capacitación en Seguridad
Todo el personal de LeadZpace con acceso a sistemas de la plataforma o datos de Clientes recibe:
Capacitación en concientización de seguridad al momento de la incorporación
Capacitación anual de actualización sobre amenazas actuales, políticas y mejores prácticas
Capacitación específica en reconocimiento de phishing y prevención de ingeniería social
Capacitación en seguridad específica para el rol para personal técnico y administrativo
13.3 Obligaciones de Confidencialidad
Todo el personal y los contratistas deben firmar acuerdos de confidencialidad y no divulgación como condición de contratación. Las obligaciones de seguridad subsisten tras la terminación del empleo o contrato.
13.4 Cumplimiento de la Política de Seguridad
El incumplimiento de las políticas de seguridad de LeadZpace puede resultar en medidas disciplinarias que van hasta la terminación del empleo o contrato.
14. RESPONSABILIDADES DE SEGURIDAD DEL CLIENTE
Si bien LeadZpace implementa medidas de seguridad robustas para proteger la Plataforma, los Clientes son responsables de:
Mantener la seguridad de sus credenciales de cuenta y tokens de acceso
Habilitar y aplicar la autenticación multifactor para todos los usuarios autorizados
Notificar de inmediato a LeadZpace cualquier sospecha de acceso no autorizado a su cuenta
Gestionar los permisos de usuario dentro de su cuenta LeadZpace de forma responsable
Garantizar que sus propios dispositivos y redes utilizados para acceder a la Plataforma estén adecuadamente protegidos
Cumplir con la Política de Uso Aceptable y no cargar datos prohibidos o sensibles
Proteger cualquier clave API o credencial de integración generada a través de la Plataforma
LeadZpace no será responsable por incidentes de seguridad resultantes del incumplimiento de estas responsabilidades por parte del Cliente.
15. CERTIFICACIONES Y CUMPLIMIENTO DE SEGURIDAD
La infraestructura y operaciones de LeadZpace están alineadas con los siguientes marcos y estándares de seguridad:
SOC 2 Tipo II (a través de proveedores de infraestructura cloud)
ISO/IEC 27001 (a través de proveedores de infraestructura cloud)
PCI DSS (a través de Stripe y PayPal para procesamiento de pagos)
GDPR – Reglamento General de Protección de Datos (UE)
CCPA/CPRA – Ley de Privacidad del Consumidor de California
LGPD – Lei Geral de Proteção de Dados (Brasil)
OWASP Top 10 – Mejores prácticas de seguridad de aplicaciones
16. REPORTE DE VULNERABILIDADES DE SEGURIDAD
LeadZpace fomenta la divulgación responsable de cualquier vulnerabilidad de seguridad descubierta en nuestra plataforma o sistemas.
Si considera haber identificado una vulnerabilidad de seguridad, por favor:
Envíe un correo a nuestro equipo de seguridad: [email protected]
Incluya una descripción detallada de la vulnerabilidad, pasos para reproducirla e impacto potencial
Permita a LeadZpace un período razonable para investigar y remediar antes de cualquier divulgación pública
LeadZpace se compromete a:
Acusar recibo de los reportes de vulnerabilidades dentro de los 2 días hábiles siguientes
Investigar todas las vulnerabilidades reportadas de forma oportuna
Mantener informado al reportante sobre el progreso de la remediación
No emprender acciones legales contra investigadores de seguridad de buena fe que actúen conforme a esta política de divulgación
17. MODIFICACIONES A ESTA POLÍTICA
LeadZpace se reserva el derecho de actualizar esta Política de Seguridad en cualquier momento para reflejar cambios en nuestras prácticas de seguridad, tecnología o regulaciones aplicables. Los cambios sustanciales serán comunicados a los Clientes activos por correo electrónico al menos 30 días antes de entrar en vigor.
18. CONTACTO
Para todas las consultas relacionadas con seguridad, reportes de vulnerabilidades o notificaciones de incidentes:
Equipo de Seguridad de LeadZpace
HILCORE GROUP LLC
Correo electrónico: [email protected]
Sitio web: https://leadzpace.com
LeadZpace — operado por HILCORE GROUP LLC
[email protected] | https://leadzpace.com
© 2026 HILCORE GROUP LLC. Todos los derechos reservados.
Copyright 2026 - LeadZpace. All Rights Reserved