
Resumen rápido
Sí, Gorgias cumple con SOC 2, y del tipo fuerte: SOC 2 Type II, auditado de forma independiente y renovado cada año desde 2022, con el informe más reciente fechado el 12/31/2025. Puedes solicitar el informe a través del Gorgias Trust Center, impulsado por Vanta.
SOC 2 Type II es la única certificación de primera parte que Gorgias realmente posee. El RGPD y la CCPA se gestionan contractualmente mediante su Acuerdo de Procesamiento de Datos; la HIPAA y un BAA están disponibles a solicitud. La ISO 27001 pertenece a su proveedor de nube (Google Cloud), no a Gorgias, y no hay certificación PCI porque los datos de tarjetas se entregan a Stripe en lugar de almacenarse.
Lo que la mayoría de los compradores no ven: una insignia SOC 2 demuestra que los controles de un proveedor fueron auditados, pero no dice nada sobre si tu proveedor de IA entrena con tus datos, cómo se aíslan tus datos o cuánto puede hacer tu agente de IA. Para una pila de soporte de ecommerce que en 2026 alimenta datos de pedidos en vivo a una IA, esas preguntas importan tanto como el certificado, y son las que pondríamos primero en cualquier revisión de seguridad.
Qué significa realmente SOC 2 (y qué no)
SOC 2 es un marco de auditoría gestionado por el American Institute of CPAs. Un auditor independiente evalúa a un proveedor de software frente a un conjunto de controles llamados Trust Services Criteria, y luego emite un informe. No es una licencia gubernamental ni un sello de aprobado/reprobado de talla única, es un informe detallado que un comprador lee.
Lo más útil que hay que saber es la diferencia entre los dos tipos de informe, porque los proveedores la difuminan constantemente:
- SOC 2 Type I confirma que los controles estaban diseñados correctamente en un día concreto. Es una fotografía puntual.
- SOC 2 Type II confirma que esos controles funcionaron de forma efectiva durante una ventana de 6 a 12 meses. Es un historial demostrado.
Type II es el que realmente importa, y es el que tiene Gorgias. Un informe Type I se puede obtener con una tarde de papeleo; un Type II significa que un auditor observó el funcionamiento de los controles durante la mayor parte de un año.

Hay cinco Trust Services Criteria que un auditor puede cubrir: Security, Availability, Processing Integrity, Confidentiality y Privacy. Solo Security (los «Common Criteria») es obligatorio, los otros cuatro se incluyen a discreción del proveedor, lo cual es una razón para leer el informe real en lugar de confiar en el logotipo. Si quieres más contexto sobre la plataforma en sí primero, nuestra reseña de Gorgias cubre lo que hace el producto en el día a día.
¿Gorgias tiene SOC 2? Sí, Type II
Gorgias tiene SOC 2 Type II y lo ha renovado anualmente. Su Trust Center indica que la última renovación se concedió el 11/30/2024 y que este es su cuarto año consecutivo, y lista un informe descargable titulado «Gorgias SOC 2 Type II Report 12.31.2025.pdf». Gorgias anunció por primera vez la certificación tras una auditoría independiente de seis meses, con renovaciones continuas desde 2022. (La fecha 11/30/2024 es cuando se concedió la renovación más reciente; el nombre del archivo del informe simplemente refleja el periodo de auditoría que cubre, hasta el 12/31/2025.) Para más contexto sobre la empresa detrás de la insignia, consulta nuestro artículo sobre quién es dueño de Gorgias.
El Trust Center funciona sobre Vanta, lo que significa que los controles detrás de la insignia se monitorizan de forma continua en lugar de revisarse una vez al año y olvidarse. Es una buena señal: es la diferencia entre un proveedor que trata el cumplimiento como un sistema vivo y uno que lo trata como un simulacro anual. Lo mismo aplica a cualquier agente de helpdesk con IA que estés evaluando, la monitorización continua supera a un PDF desactualizado.
Cómo obtener el informe SOC 2 de Gorgias
El informe real está detrás de una breve solicitud, lo cual es normal, los informes SOC 2 contienen suficiente detalle interno como para que los proveedores rara vez los publiquen abiertamente. Este es el camino:
- Abre el Gorgias Trust Center y busca el documento restringido «SOC 2 Type II Report».
- Envía un formulario de «Request Access» (la página de seguridad enruta la misma solicitud a través del portal de Vanta). También puedes escribir a security@gorgias.com.
- Si ya estás en un plan de pago, tienes un atajo. La sección 8 del DPA de Gorgias permite que un cliente acepte un informe SOC 2 Type II vigente en lugar de realizar su propia auditoría in situ, siempre que tenga menos de 12 meses y no haya habido cambios significativos en los controles.
Ese tercer punto es más valioso de lo que parece. Para un equipo pequeño de ecommerce, un informe SOC 2 Type II proporcionado por el proveedor es a menudo toda la revisión de seguridad, se lee en lugar de encargar una propia. El mismo Trust Center también restringe un informe de pruebas de penetración, un plan de respuesta a incidentes y una política de criptografía si tu equipo de compras quiere el paquete completo.
El panorama completo de cumplimiento de Gorgias
Aquí es donde el marketing y la realidad se separan un poco. Circulan muchas afirmaciones del tipo «Gorgias es de nivel empresarial», así que vale la pena detallar exactamente qué certificaciones son realmente propias de Gorgias y cuáles pertenecen a otra parte de la pila.
| Marco | Estado de Gorgias | Qué hay realmente detrás |
|---|---|---|
| SOC 2 Type II | ✅ Vigente, renovado anualmente (4.º año) | Certificación propia; informe fechado el 12/31/2025, vía el Trust Center |
| SOC 2 Type I | Superado | Gorgias tiene el Type II, más sólido; no se anuncia un Type I independiente |
| RGPD | ✅ Conforme | DPA público con SCC de UE/Reino Unido/Suiza |
| CCPA / privacidad de EE. UU. | ✅ Conforme | Insignia «CCPA Compliant» en el Trust Center; incluido en el DPA |
| HIPAA + BAA | ⚠️ Disponible a solicitud | Se ofrece, pero el informe y el BAA están restringidos tras una solicitud de acceso |
| ISO 27001 | ❌ No es propia de Gorgias | Pertenece a Google Cloud, su proveedor de nube, no a Gorgias |
| PCI DSS | ❌ No la tiene | Los datos de tarjetas no se almacenan; los pagos se delegan a Stripe |
Así que el resumen honesto: SOC 2 Type II es la certificación que Gorgias posee y audita; el RGPD, la CCPA y la HIPAA se gestionan contractual y operativamente en lugar de como certificados independientes; y la ISO 27001 y la PCI DSS no son propias de Gorgias. Nada de esto es un demérito, es una postura normal y sólida para un helpdesk de ecommerce. Solo significa que deberías citar el informe SOC 2 Type II, no una insignia ISO 27001, cuando redactes tu revisión de proveedores. (Si el coste de todo esto es tu verdadera duda, nuestra guía de precios de Gorgias y el desglose del límite de tickets de Gorgias cubren el modelo de facturación.)
Más allá de la insignia: cómo gestiona Gorgias tus datos
Un certificado es un resumen. La sustancia es lo que hace el proveedor con tus datos cuando nadie está auditando, y el Whitepaper de Seguridad 2025 de Gorgias y su DPA son razonablemente específicos aquí.
Cifrado. Gorgias envía datos «exclusivamente a través de conexiones cifradas con HTTPS TLS», y todos los datos en sus servidores se cifran en reposo con claves gestionadas en el servicio de gestión de claves de Google Cloud. Una pequeña advertencia para los minuciosos: las propias páginas de Gorgias dicen «cifrado en reposo» sin nombrar un cifrado específico como AES-256, así que si tu equipo de seguridad necesita eso por escrito, pídelo directamente.
Alojamiento y residencia. Gorgias funciona sobre Google Cloud Platform, no AWS, que es la suposición con la que muchos compradores llegan. Las copias de seguridad cifradas se mantienen en varias regiones de Google Cloud, y la lista de subprocesadores muestra que Google Cloud abarca EE. UU., la UE y Australia. Lo que Gorgias no promete públicamente es una opción de residencia exclusivamente en la UE para un solo cliente, así que si la residencia de datos es un requisito imprescindible para ti, confírmalo por escrito antes de firmar.
A dónde viajan realmente tus datos. Esta es la parte que una insignia SOC 2 por sí sola no te muestra. Los datos de soporte de tus clientes no solo permanecen dentro de Gorgias, fluyen hacia una lista de subprocesadores nombrados, y eso es exactamente lo que SOC 2 busca controlar.

La lista de subprocesadores (revisada por última vez el 30 de marzo de 2026) incluye a OpenAI para funciones de IA, Stripe para pagos, Twilio para SMS y voz, además de Cloudflare, Datadog y otros. Para la mayoría de estos, los datos residen en EE. UU., razón por la cual existe el mecanismo de transferencia a la UE en el DPA. Útilmente, la sección 5 del DPA te da 15 días de aviso previo ante cualquier nuevo subprocesador y una ventana de 10 días para objetar por motivos de protección de datos.
Notificación de brechas y eliminación. Dos cifras que vale la pena conocer. Ante una brecha de seguridad, Gorgias se compromete a notificarte dentro de un plazo fijo:
"[We] notify Customer of a Security Breach without undue delay, and in any event within 72 hours after becoming aware of it."
Esa línea proviene de la sección 6 del DPA de Gorgias. Y a la salida, la sección 9 obliga a Gorgias a devolver y eliminar tus datos personales dentro de los 90 días posteriores a la terminación del contrato, aunque las copias de seguridad pueden persistir durante un periodo razonable antes de caducar. Si quieres la guía práctica para solicitar la eliminación, escribimos una guía separada sobre el RGPD y la eliminación de datos de Gorgias.
Pruebas. Gorgias realiza pruebas de penetración de caja gris anuales y publica una página de estado pública para incidentes. Una inconsistencia que señalamos con honestidad: el whitepaper de 2025 describe un programa de recompensas por errores privado y activo, mientras que la página de seguridad en vivo dice que el programa de recompensas por errores está «actualmente en pausa». Menor, pero el tipo de cosa que un revisor cuidadoso nota. Por lo que vale, no encontramos ningún registro público de una brecha de datos real de Gorgias.
Controles de acceso: SSO, SAML y 2FA
Los certificados de cumplimiento cubren el back end. Día a día, el control de seguridad que tu equipo toca es el inicio de sesión, y aquí Gorgias es más generoso que la mayoría de los helpdesks en su nivel de entrada.
| Control | Disponibilidad |
|---|---|
| SSO de Google y Microsoft 365 | ✅ Todos los planes de Helpdesk |
| SAML SSO personalizado (Okta, JumpCloud) | Configuración separada de «SSO personalizado» (nivel no indicado públicamente) |
| Autenticación de dos factores (2FA) | Autoservicio; los administradores pueden forzarla, periodo de gracia de 14 días |
| Permisos basados en roles | ✅ Disponible |
| Verificación de correo como respaldo | Se activa en ubicaciones nuevas / IPs sin uso durante 30 días |
Lo destacable es que el SSO de Google y Microsoft está disponible en todos los planes de Helpdesk, sin estar restringido a un nivel empresarial, lo cual es una buena decisión. El SAML SSO personalizado a través de proveedores como Okta es una configuración separada, y la documentación de Gorgias no indica públicamente qué nivel de pago lo requiere, así que pregunta si el SAML es imprescindible. Los administradores también pueden hacer obligatoria la 2FA para todo el espacio de trabajo con un periodo de gracia de aplicación de 14 días, y configurar la incorporación automática por dominio de correo aprobado. Si administras la cuenta, nuestra guía de inicio de sesión de Gorgias cubre los aspectos básicos de acceso.
SOC 2 es el mínimo indispensable, no toda la historia
Aquí está el replanteamiento que nos gustaría que se llevara cualquier fundador de ecommerce. Un informe SOC 2 Type II es necesario, y Gorgias tiene uno bueno. Pero en 2026, tu herramienta de soporte ya no solo almacena tickets, está ejecutando un agente de soporte con IA de Gorgias que lee datos de pedidos de Shopify, emite reembolsos y edita suscripciones. La insignia audita los controles del proveedor; no responde qué hace su IA con tus datos.

Tres preguntas quedan fuera del alcance de un informe SOC 2 estándar, y son las que le haríamos a cualquier proveedor de soporte con IA, Gorgias incluido:
- ¿El proveedor (o su subprocesador de IA) entrena modelos con tus datos? Gorgias usa OpenAI como subprocesador; los términos de la API de OpenAI dicen que los datos empresariales no se usan para entrenamiento, pero deberías confirmar esa cadena explícitamente en lugar de asumirlo.
- ¿Cuán aislados están tus datos de otros clientes? El SaaS multiinquilino es normal, pero el rigor del aislamiento varía, y rara vez se detalla en una página de marketing.
- ¿Cuánto puede realmente ver y hacer el agente de IA? Un agente que puede emitir reembolsos y leer el historial de pedidos de cada cliente representa una superficie de seguridad mayor que un chatbot que solo responde preguntas frecuentes. El control de alcance es una característica de seguridad.
Estas no son razones para evitar Gorgias, son el estándar que aplicarías a cualquier helpdesk con IA, y vale la pena incorporarlas a tu lista de verificación de proveedores junto al informe SOC 2. Si estás comparando opciones en este eje, nuestro repaso del mejor software de helpdesk con IA sopesa la gestión de datos, no solo las funciones. Hacemos lo mismo en nuestra guía sobre la mejor IA para soporte de Shopify.
Prueba eesel
Si estás evaluando una capa de soporte con IA con esas tres preguntas en mente, esa es exactamente la perspectiva para la que está construido eesel. eesel ejecuta agentes de IA autónomos dentro de los helpdesks que ya usas, y trata la gestión de datos como una característica de primer nivel: tus datos nunca se usan para entrenar ningún modelo, cada espacio de trabajo está completamente aislado de cualquier otro cliente, y controlas con precisión lo que el agente puede ver y hacer mediante una configuración de simulación y delimitación antes de que toque un ticket en vivo.
En el lado del cumplimiento, eesel cumple con el RGPD y la CCPA con DPA estándar y personalizados, honra las solicitudes de eliminación dentro de los 60 días, y está en proceso de obtener SOC 2 Type II bajo monitorización continua de Vanta (el informe completo estará disponible bajo NDA al finalizar). Puedes leer los detalles en la página de seguridad de eesel o empezar gratis y delimitar un agente con tus propios datos primero. Para el lado del coste de la comparación, nuestro desglose de precios de Gorgias detalla lo que realmente cuesta el agente de IA.
Preguntas frecuentes
¿Gorgias cumple con SOC 2?
¿Cómo obtengo una copia del informe SOC 2 de Gorgias?
¿Gorgias cumple con el RGPD y la HIPAA?
¿Dónde almacena Gorgias mis datos?
¿Es suficiente una insignia SOC 2 para confiar en una herramienta de soporte con IA?

Article by
Alicia Kirana Utomo
Kira is a writer at eesel AI with a Computer Science background and over a year of hands-on experience evaluating AI-powered customer service tools. She focuses on breaking down how helpdesk platforms and AI agents actually work so that support teams can make better buying decisions.







