Resumen de Seguridad de Twilio
Última actualización: 9 de abril de 2026
Este Resumen de Seguridad (“Resumen de Seguridad”) se incorpora y forma parte del acuerdo entre Twilio y el Cliente que cubre el uso de los Servicios por parte del Cliente (según se define a continuación), incluidos los términos aplicables al procesamiento de datos personales establecidos en él (colectivamente, el “Acuerdo”). Cualquier término en mayúscula utilizado, pero no definido, tiene el significado dispuesto en el Acuerdo.
1. Definiciones
“Datos del Cliente” significa cualquier dato (a) proporcionado por el Cliente o cualquier usuario de los Servicios, incluso a través de cualquier producto y servicio provisto por el Cliente, a Twilio en relación con el uso de los Servicios por parte del Cliente o (b) generado para el uso del Cliente como parte de los Servicios.
“Servicios de Segment” significa cualquier servicio o interfaz de programación de aplicaciones bajo las marcas “Segment”, “Twilio Segment” o “Twilio Engage”.
“Servicios de SendGrid” significa cualquier servicio o interfaz de programación de aplicaciones con la marca “SendGrid” o “Twilio SendGrid”.
“Servicios” significa, colectivamente, los Servicios de Twilio (según se define a continuación), los Servicios de SendGrid y los Servicios de Segment.
“Servicios de Twilio” significa cualquier (a) servicio o interfaz de programación de aplicaciones bajo la marca “Twilio” y (b) plataforma de identidad, autenticación y seguridad basada en la nube, y los servicios relacionados, con la marca “Stytch”.
2. Propósito: Este Resumen de Seguridad describe el programa de seguridad de Twilio, incluidas las certificaciones y autocertificaciones de seguridad de Twilio y los controles de seguridad técnicos y organizacionales para proteger (a) los Datos del Cliente contra el uso, acceso, divulgación o robo no autorizados y (b) los Servicios. A medida que las amenazas de seguridad cambian con el tiempo, Twilio continúa actualizando su programa y estrategia de seguridad para proteger los Datos del Cliente y los Servicios, de acuerdo con las mejores prácticas de la industria. Como tal, Twilio se reserva el derecho de actualizar este Resumen de Seguridad periódicamente; siempre que, no obstante, cualquier actualización no reducirá sustancialmente las protecciones generales establecidas en este Resumen de Seguridad. Los términos vigentes de este Resumen de Seguridad están disponibles en https://www.twilio.com/es-mx/legal/security-overview. Este Resumen de Seguridad no se aplica a (a) los Servicios que se identifican como alfa, beta,no disponibles para el público general, de lanzamiento limitado, vista previa del desarrollador o cualquier Servicio similar ofrecido por Twilio o (b) cualquier servicio prestado por proveedores de telecomunicaciones.
3. Organización y Programa de Seguridad. Twilio mantiene un programa de seguridad basado en la evaluación de riesgos fundamentado en el Sistema de Gestión de Seguridad de la Información (ISMS) ISO/IEC 27001, que incluye medidas de seguridad administrativas, técnicas, organizativas y físicas diseñadas razonablemente para proteger los Servicios y la seguridad, confidencialidad, integridad y disponibilidad de los Datos del Cliente. El programa de seguridad de Twilio está diseñado para ser adecuado para la naturaleza de los Servicios y el tamaño y la complejidad de las operaciones comerciales de Twilio. Twilio cuenta con equipos de seguridad de la información separados y dedicados, que gestionan el programa de seguridad de Twilio, incluidos aquellos que facilitan y apoyan auditorías y evaluaciones independientes realizadas por terceros. El programa de seguridad de Twilio se gestiona en los niveles más altos de la empresa; el Director de Seguridad de la Información de Twilio se reúne regularmente con la gerencia ejecutiva para analizar problemas relacionados con la seguridad y coordinar iniciativas de seguridad en toda la empresa. La gerencia ejecutiva de Twilio revisa y aprueba las políticas y los estándares de seguridad de la información de Twilio al menos una vez al año.
4. Seguridad del Personal e Incorporación. Twilio (a) mantiene políticas, procedimientos y controles integrales que se actualizan regularmente para alinearse con las prácticas recomendadas de la industria y (b) hace que dichas políticas y procedimientos sean fácilmente accesibles para todos los empleados de Twilio. Todos los empleados de Twilio están sujetos a las siguientes medidas mínimas de seguridad:
(i) Realización de una verificación de antecedentes administrada por un proveedor externo reconocido de para todos los empleados nuevos de Twilio antes de su contratación, de acuerdo con las leyes locales aplicables, lo cual incluye la verificación de estudios, historia laboral y las verificaciones de referencias; y donde la legislación local lo permita y sea pertinente a la función laboral, la verificación de antecedentes penales, crediticios y del derecho al trabajo;
(ii) Firma de un acuerdo de confidencialidad;
(iii) Realización anual de la capacitación obligatoria sobre seguridad y privacidad, con plazos extendidos disponibles para los empleados de Twilio que se encuentren en licencia o permiso de ausencia;
(iv) Mantenimiento y monitoreo continuo de una línea directa anónima para que los empleados de Twilio denuncien cualquier comportamiento poco ético, en los casos en que la denuncia anónima esté legalmente permitida;
(v) Concientizar sobre las amenazas de seguridad emergentes a través de varios medios, incluidos los incidentes simulados relacionados con la seguridad (p. ej., campañas de phishing); y
(vi) Acceso controlado y limitado a los Datos del Cliente estrictamente para los empleados autorizados de Twilio, únicamente de conformidad con la Sección 10.1 (Provisión de Acceso) y los procedimientos operativos estándar internos de Twilio que rigen el procesamiento y la protección de dichos Datos del Cliente.
5. Seguridad Física. Twilio mantiene sólidos controles de seguridad física en sus oficinas, los cuales se rigen por una política de seguridad física que se revisa periódicamente. La política de seguridad física de Twilio establece los controles de seguridad física básicos necesarios para prevenir el acceso no autorizado a las oficinas de Twilio y para salvaguardar los activos físicos de Twilio. La política de seguridad física de Twilio abarca áreas como los controles de acceso, requisitos de credenciales para los empleados y contratistas, aseguramiento del equipo informático y monitoreo fuera del horario laboral. Twilio requiere que sus proveedores de infraestructura identificados en la Sección 8 (Arquitectura de alojamiento y Segregación de datos) de esta Descripción general de seguridad mantengan estándares de seguridad física que estén, como mínimo, alineados con los estándares SOC 2.
6. Gestión de Proveedores Externos. Twilio puede utilizar proveedores externos para prestar los Servicios. Twilio ha implementado un programa integral de gestión de proveedores que aplica los controles de seguridad técnicos y organizacionales adecuados, proporcionales al tipo de servicio que el proveedor externo presta y a cualquier riesgo relacionado con la seguridad asociado. Los posibles proveedores externos son evaluados minuciosamente a través de un proceso que garantiza que cumplan, y continúen cumpliendo, con los rigurosos requisitos de confidencialidad, seguridad y privacidad de Twilio durante la vigencia de su relación con Twilio. Los proveedores externos que procesan Datos del Cliente están sujetos a controles de seguridad técnicos y organizacionales más estrictos que (a) se reflejan en el acuerdo contractual de Twilio con dichos proveedores externos y (b) son auditados regularmente por Twilio para asegurar el cumplimiento continuo. Además, Twilio revisa regularmente (i) a cada proveedor externo frente a los estándares de seguridad y continuidad del negocio de Twilio; (ii) el acceso de cada proveedor externo a los Datos del Cliente y sus controles de seguridad técnicos y organizacionales para proteger dichos Datos del Cliente; y (iii) los requisitos legales o regulatorios en evolución que afectan el programa de seguridad de Twilio o al procesamiento de los Datos del Cliente. Los proveedores externos actuales de Twilio que son subprocesadores están disponibles en https://www.twilio.com/en-us/legal/sub-processors. Para evitar cualquier duda, los proveedores de telecomunicaciones no se consideran proveedores externos ni subprocesadores de Twilio.
7. Certificaciones y Atestaciones de Seguridad. Twilio posee las siguientes certificaciones y atestaciones relacionadas con la seguridad:
|
Certificación o Atestación |
Servicios Cubiertos |
|---|---|
|
ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 |
Servicios de Twilio, Servicios de Segment |
|
SOC 2 Tipo 2 |
Todos los servicios |
|
PCI DSS Nivel 1 |
Todos los Servicios que se identifican expresamente en la Matriz de responsabilidad de DSS de PCI |
|
PCI (SAQ-A) |
La parte de los Servicios de Twilio consistente en la plataforma de identidad, autenticación y seguridad basada en la nube, y los servicios relacionados, bajo la marca “Stytch” |
Para obtener información adicional relacionada con las certificaciones y atestaciones de seguridad de Twilio y otra documentación de seguridad relacionada, visite el Centro de Confianza correspondiente a continuación:
Centro de Confianza para los servicios de Twilio y SendGrid: https://security.twilio.com
Centro de Confianza para los Servicios de Segment: https://security.segment.com
8. Arquitectura de Alojamiento y Segregación de Datos
8.1 Proveedores de infraestructura y coubicación. Los Servicios específicos establecidos a continuación son alojados por el proveedor líder de infraestructura o coubicación correspondiente. A continuación, también se encuentra disponible información sobre los controles de seguridad técnicos y organizacionales de los proveedores de infraestructura y coubicación.
|
Proveedor de infraestructura |
Servicios cubiertos |
Controles de seguridad técnicos y organizacionales del proveedor de infraestructura |
|---|---|---|
|
Amazon Web Services (“AWS”) |
Todos los servicios |
|
|
Google Cloud Platform (“GCP”) |
Segment Services, la parte de los Servicios de Twilio correspondiente a servicios de identificación y autenticación móvil, pero que excluyen Twilio Verify |
|
Proveedor de colocación |
Servicios cubiertos |
Controles de seguridad técnicos y organizacionales del proveedor de colocación |
|---|---|---|
|
Databank |
Servicios de SendGrid |
|
|
Lumen |
Servicios de SendGrid |
|
|
Digital Realty |
Servicios de SendGrid |
8.2 Entorno de Producción y Acceso a Datos del Cliente. El entorno de producción de los Servicios que se alojan con los proveedores de infraestructura mencionados anteriormente se aísla lógicamente en una Nube Privada Virtual (Virtual Private Cloud, VPC), y los Datos del Cliente están cifrados en todo momento. Los proveedores de infraestructura se encuentran alojados en los Estados Unidos de América. Los proveedores de infraestructura y coubicación antes mencionados no tienen acceso a los Datos del Cliente que no estén cifrados. Todo acceso a la red entre servidores dentro del entorno de producción está restringido, utilizando mecanismos de control de acceso y el principio de privilegio mínimo para permitir que solo los servicios autorizados interactúen dentro del entorno de producción. Las listas de control de acceso se utilizan para gestionar la segregación de redes entre diferentes zonas de seguridad en los entornos de producción y corporativos dentro del entorno de alojamiento de Twilio. Las listas de control del acceso se revisan regularmente. Twilio separa los Datos del Cliente utilizando identificadores lógicos. Los Datos del Cliente se etiquetan con un identificador único del cliente que se asigna para separar la propiedad de los Datos del Cliente. Las interfaces de programación de aplicaciones de Twilio están diseñadas y construidas para identificar y permitir el acceso autorizado únicamente hacia y desde los Datos del Cliente identificados con etiquetas específicas de cada cliente. Estos controles evitan que otros clientes tengan acceso a los Datos del Cliente.
9. Seguridad por Diseño. Twilio sigue los principios de seguridad por diseño al desarrollar sus Servicios. Twilio también aplica el estándar del Ciclo de Vida de Desarrollo del Software Seguro de Twilio (Secure SDLC) para realizar numerosas actividades relacionadas con la seguridad para los Servicios en diferentes fases del ciclo de vida de creación de productos, desde la recopilación de requisitos y el diseño de productos hasta la implementación. Estas actividades incluyen, entre otras, la realización de (a) revisiones internas de seguridad antes de implementar nuevos Servicios o código; (b) pruebas de penetración de nuevos Servicios; y (c) modelos de amenazas para Servicios nuevos para detectar posibles amenazas y vulnerabilidades de seguridad.
10. Controles de Acceso
10.1 Otorgar Acceso. Twilio sigue los principios de menor privilegio a través de un mecanismo de control de acceso basado en equipos al otorgar el acceso al sistema para minimizar el riesgo de exposición no autorizada de los Datos del Cliente. El acceso de los empleados de Twilio a los Datos del Cliente debe ser aprobado antes de que ser otorgado y está restringido en función de si su puesto o sus responsabilidades laborales lo requieren específicamente. Los derechos de acceso al entorno de producción de los Servicios que no se basan en el tiempo se revisan, como mínimo, trimestralmente. El acceso de un empleado o contratista a los Datos del Cliente se elimina de inmediato tras la terminación de la relación laboral. Para acceder al entorno de producción de los Servicios, un usuario autorizado debe tener habilitados un nombre de usuario y una contraseña únicos, y la autenticación de múltiples factores. Antes de que se otorgue acceso a un usuario autorizado al entorno de producción de los Servicios, la gerencia debe aprobar dicho acceso. Adicionalmente, el usuario autorizado debe completar la capacitación interna para dicho acceso, la cual incluye formación sobre el uso adecuado de los sistemas relevantes que interactúan con el entorno de producción de los Servicios o permiten el acceso a él. Twilio registra acciones y cambios de alto riesgo en el entorno de producción de los Servicios. Twilio aprovecha la automatización para identificar cualquier desviación de los estándares técnicos internos que podría indicar una actividad anómala o no autorizada para generar una alerta a los pocos minutos de un cambio de configuración.
10.2 Controles de Contraseñas. Como mínimo, la política de gestión de contraseñas de Twilio para sus empleados sigue las directrices de la norma NIST 800-63B y requiere el uso de una mayor longitud de caracteres, caracteres especiales y autenticación de múltiples factores.Adicionalmente, cuando un cliente inicia sesión en su cuenta, Twilio aplica un algoritmo de hashing a las credenciales del usuario antes de ser almacenadas. El cliente también debe exigir a sus usuarios que añadan una capa adicional de seguridad a su cuenta mediante el uso de autenticación de dos factores (2FA).
11. Gestión de Cambios. Twilio tiene un proceso formal de gestión de cambios que sigue para administrar las modificaciones en el entorno de producción de los Servicios, incluyendo cualquier cambio en el software, las aplicaciones y los sistemas subyacentes. Cada cambio es revisado y evaluado cuidadosamente en un entorno de prueba antes de ser implementado en el entorno de producción de los Servicios. Todos los cambios, incluyendo su evaluación en el entorno de prueba, se documentan utilizando un sistema de registro formal y auditable. Se lleva a cabo una evaluación rigurosa de todos los cambios de alto riesgo para evaluar su impacto en la seguridad general de los Servicios. Se requiere la aprobación de la implementación para los cambios de alto riesgo por parte de los interesados organizacionales pertinentes . También se implementan planes y procedimientos para el caso de que un cambio implementado deba ser revertido para preservar la seguridad de los Servicios.
12. Cifrado
12.1 Cifrado en Tránsito. Los Datos del Cliente se cifran durante el tránsito entre la aplicación de software del Cliente y los Servicios utilizando TLS v1.2.Adicionalmente, para los Servicios de SendGrid, Twilio proporciona TLS v1.1 o superior de manera oportunista para los correos electrónicos en tránsito entre la aplicación de software del Cliente y el servidor de correo electrónico del destinatario. Los Servicios de SendGrid están diseñados para intentar de forma oportunista el uso de TLS v1.1 o superior al intentar entregar un correo electrónico a un destinatario. Esto significa que si el servidor de correo electrónico del destinatario acepta una conexión entrante TLS v1.1 o superior, Twilio entregará el correo electrónico a través de una conexión cifrada por TLS. Si el servidor de correo electrónico del destinatario no es compatible con TLS, Twilio entregará el correo electrónico a través de la conexión predeterminada sin cifrar. Los Servicios de SendGrid proporcionan una función opcional, que el Cliente debe habilitar, que le permite al Cliente exija el cifrado TLS. Si el Cliente habilita la función de TLS obligatorio, Twilio solo entregará el correo electrónico a un destinatario si el servidor de correo electrónico del destinatario acepta una conexión entrante TLS v1.1 o superior. Puede encontrar más información disponible sobre cómo habilitar la función de TLS obligatorio para los Servicios de SendGrid en https://www.twilio.com/docs/sendgrid/api-reference/settings-enforced-tls/update-enforced-tls-settings.
12.2 Cifrado en Reposo. Los Datos del Cliente se cifran en reposo en AWS y GCP utilizando el Estándar de Cifrado Avanzado (Advanced Encryption Standard o AES).
13. Gestión de Vulnerabilidades. Twilio mantiene controles y políticas para mitigar el riesgo de vulnerabilidades de seguridad en un plazo de tiempo medible que equilibra el riesgo y los requisitos comerciales y operativos. Twilio utiliza herramientas de terceros para realizar escaneos de vulnerabilidades con regularidad a fin de evaluar las vulnerabilidades en el entorno de alojamiento y los sistemas corporativos de Twilio. Los parches de software críticos se evalúan, prueban y aplican de manera proactiva. Los parches del sistema operativo se aplican a través de la regeneración de una imagen base de máquina virtual y se implementan en todos los nodos del clúster de Twilio de acuerdo con un cronograma predefinido. Para los parches de alto riesgo, Twilio los implementará directamente en los nodos existentes a través de herramientas de orquestación desarrolladas internamente.
14. Pruebas de Penetración. Twilio realiza pruebas de penetración (penetration tests o pen tests) con regularidad. Las amenazas y vulnerabilidades de seguridad que se detectan se priorizan, clasifican y corrigen rápidamente.Adicionalmente, Twilio mantiene un Programa Bug Bounty a través de Hacker One, que permite a los investigadores de seguridad independientes reportar amenazas y vulnerabilidades de seguridad de manera continua.
15. Gestión de Incidentes de Seguridad
15.1 Medidas de Prevención. Twilio mantiene políticas y procedimientos de gestión de incidentes de seguridad de acuerdo con la norma NIST SP 800-61. El Equipo de Respuesta a Incidentes de Seguridad de Twilio (Twilio's Security Incident Response Team, T-SIRT) evalúa las amenazas y vulnerabilidades de seguridad relevantes y establece las acciones de remediación y mitigación adecuadas. Twilio conserva los registros (logs) de seguridad durante ciento ochenta (180) días. El acceso a estos registros de seguridad se limita al T-SIRT. Twilio utiliza herramientas de terceros para detectar, mitigar y prevenir ataques de denegación de servicio distribuido (Distributed Denial of Service, DDoS).
15.2 Respuesta a Incidentes. Twilio investigará con prontitud cualquier Incidente de Seguridad al descubrirlo (según se define en el Acuerdo). En la medida permitida por la ley o reglamentación aplicable, Twilio notificará al Cliente sobre cualquier Incidente de seguridad de acuerdo con el Acuerdo. Las notificaciones de Incidentes de Seguridad se enviarán al Cliente por correo electrónico a la dirección de correo electrónico designada por el Cliente en su cuenta. Twilio cuenta con un conjunto definido de políticas, procedimientos, estándares y herramientas que guían sus respuestas posteriores, en cumplimiento con la ley o reglamentación aplicable. Esto incluye las notificaciones a los clientes cuando sea obligatorio, la coordinación con las fuerzas del orden público y las declaraciones a los organismos reguladores de privacidad correspondientes y otros organismos reguladores, cuando corresponda.
16. Resiliencia y Continuidad del Servicio
16.1 Resiliencia. Twilio utiliza múltiples regiones geográficamente diversas dentro de sus proveedores de infraestructura y ha configurado múltiples zonas de disponibilidad independientes de fallas dentro de cada una de esas regiones para garantizar que una falla en un solo centro de datos no afecte la disponibilidad de los Servicios. Esto le permite a Twilio detectar y redirigir en tiempo real los problemas experimentados por los hosts, o incluso por centros de datos completos, y emplear herramientas de orquestación capaces de regenerar los hosts, construyendolos a partir de la copia de seguridad más reciente.
16.2 Continuidad del Servicio. Twilio aprovecha las herramientas especializadas disponibles dentro de la infraestructura de alojamiento de los Servicios para monitorear el rendimiento del servidor, los datos y la capacidad de carga de tráfico dentro de cada zona de disponibilidad y centro de datos de coubicación. Si se detecta un rendimiento subóptimo o una sobrecarga de capacidad dentro de una zona de disponibilidad o centro de datos de coubicación, estas herramientas especializadas aumentan la capacidad o desvían el tráfico para aliviar cualquier rendimiento subóptimo o sobrecarga de capacidad. Twilio también es notificado de inmediato en caso de cualquier rendimiento subóptimo del servidor o sobrecarga de capacidad.
17. Copias de Seguridad de Datos del Cliente. Twilio realiza copias de seguridad con regularidad de los Datos del Cliente, los cuales se alojan en la infraestructura del centro de datos de AWS. Los Datos del Cliente respaldados se conservan de forma redundante en múltiples zonas de disponibilidad y se cifran tanto en tránsito como en reposo, utilizando un estándar de cifrado moderno basado en el tipo de Datos del Cliente que se están cifrando.