Gorgias SOC 2 y seguridad: qué cubre y qué no (2026)

Alicia Kirana Utomo
Escrito por

Alicia Kirana Utomo

Katelin Teen
Revisado por

Katelin Teen

Última edición June 14, 2026

Verificado por expertos
Ilustración principal de la guía de seguridad y SOC 2 de Gorgias

Resumen rápido

Sí, Gorgias cumple con SOC 2, y del tipo fuerte: SOC 2 Type II, auditado de forma independiente y renovado cada año desde 2022, con el informe más reciente fechado el 12/31/2025. Puedes solicitar el informe a través del Gorgias Trust Center, impulsado por Vanta.

SOC 2 Type II es la única certificación de primera parte que Gorgias realmente posee. El RGPD y la CCPA se gestionan contractualmente mediante su Acuerdo de Procesamiento de Datos; la HIPAA y un BAA están disponibles a solicitud. La ISO 27001 pertenece a su proveedor de nube (Google Cloud), no a Gorgias, y no hay certificación PCI porque los datos de tarjetas se entregan a Stripe en lugar de almacenarse.

Lo que la mayoría de los compradores no ven: una insignia SOC 2 demuestra que los controles de un proveedor fueron auditados, pero no dice nada sobre si tu proveedor de IA entrena con tus datos, cómo se aíslan tus datos o cuánto puede hacer tu agente de IA. Para una pila de soporte de ecommerce que en 2026 alimenta datos de pedidos en vivo a una IA, esas preguntas importan tanto como el certificado, y son las que pondríamos primero en cualquier revisión de seguridad.

Qué significa realmente SOC 2 (y qué no)

SOC 2 es un marco de auditoría gestionado por el American Institute of CPAs. Un auditor independiente evalúa a un proveedor de software frente a un conjunto de controles llamados Trust Services Criteria, y luego emite un informe. No es una licencia gubernamental ni un sello de aprobado/reprobado de talla única, es un informe detallado que un comprador lee.

Lo más útil que hay que saber es la diferencia entre los dos tipos de informe, porque los proveedores la difuminan constantemente:

  • SOC 2 Type I confirma que los controles estaban diseñados correctamente en un día concreto. Es una fotografía puntual.
  • SOC 2 Type II confirma que esos controles funcionaron de forma efectiva durante una ventana de 6 a 12 meses. Es un historial demostrado.

Type II es el que realmente importa, y es el que tiene Gorgias. Un informe Type I se puede obtener con una tarde de papeleo; un Type II significa que un auditor observó el funcionamiento de los controles durante la mayor parte de un año.

Comparación entre SOC 2 Type I y Type II, con los cinco Trust Services Criteria
Comparación entre SOC 2 Type I y Type II, con los cinco Trust Services Criteria

Hay cinco Trust Services Criteria que un auditor puede cubrir: Security, Availability, Processing Integrity, Confidentiality y Privacy. Solo Security (los «Common Criteria») es obligatorio, los otros cuatro se incluyen a discreción del proveedor, lo cual es una razón para leer el informe real en lugar de confiar en el logotipo. Si quieres más contexto sobre la plataforma en sí primero, nuestra reseña de Gorgias cubre lo que hace el producto en el día a día.

¿Gorgias tiene SOC 2? Sí, Type II

Gorgias tiene SOC 2 Type II y lo ha renovado anualmente. Su Trust Center indica que la última renovación se concedió el 11/30/2024 y que este es su cuarto año consecutivo, y lista un informe descargable titulado «Gorgias SOC 2 Type II Report 12.31.2025.pdf». Gorgias anunció por primera vez la certificación tras una auditoría independiente de seis meses, con renovaciones continuas desde 2022. (La fecha 11/30/2024 es cuando se concedió la renovación más reciente; el nombre del archivo del informe simplemente refleja el periodo de auditoría que cubre, hasta el 12/31/2025.) Para más contexto sobre la empresa detrás de la insignia, consulta nuestro artículo sobre quién es dueño de Gorgias.

Gorgias Trust Center mostrando su estado SOC 2 Type II e insignias de cumplimiento, tal como se ve en Gorgias

El Trust Center funciona sobre Vanta, lo que significa que los controles detrás de la insignia se monitorizan de forma continua en lugar de revisarse una vez al año y olvidarse. Es una buena señal: es la diferencia entre un proveedor que trata el cumplimiento como un sistema vivo y uno que lo trata como un simulacro anual. Lo mismo aplica a cualquier agente de helpdesk con IA que estés evaluando, la monitorización continua supera a un PDF desactualizado.

Cómo obtener el informe SOC 2 de Gorgias

El informe real está detrás de una breve solicitud, lo cual es normal, los informes SOC 2 contienen suficiente detalle interno como para que los proveedores rara vez los publiquen abiertamente. Este es el camino:

  1. Abre el Gorgias Trust Center y busca el documento restringido «SOC 2 Type II Report».
  2. Envía un formulario de «Request Access» (la página de seguridad enruta la misma solicitud a través del portal de Vanta). También puedes escribir a security@gorgias.com.
  3. Si ya estás en un plan de pago, tienes un atajo. La sección 8 del DPA de Gorgias permite que un cliente acepte un informe SOC 2 Type II vigente en lugar de realizar su propia auditoría in situ, siempre que tenga menos de 12 meses y no haya habido cambios significativos en los controles.

Ese tercer punto es más valioso de lo que parece. Para un equipo pequeño de ecommerce, un informe SOC 2 Type II proporcionado por el proveedor es a menudo toda la revisión de seguridad, se lee en lugar de encargar una propia. El mismo Trust Center también restringe un informe de pruebas de penetración, un plan de respuesta a incidentes y una política de criptografía si tu equipo de compras quiere el paquete completo.

El panorama completo de cumplimiento de Gorgias

Aquí es donde el marketing y la realidad se separan un poco. Circulan muchas afirmaciones del tipo «Gorgias es de nivel empresarial», así que vale la pena detallar exactamente qué certificaciones son realmente propias de Gorgias y cuáles pertenecen a otra parte de la pila.

MarcoEstado de GorgiasQué hay realmente detrás
SOC 2 Type II✅ Vigente, renovado anualmente (4.º año)Certificación propia; informe fechado el 12/31/2025, vía el Trust Center
SOC 2 Type ISuperadoGorgias tiene el Type II, más sólido; no se anuncia un Type I independiente
RGPD✅ ConformeDPA público con SCC de UE/Reino Unido/Suiza
CCPA / privacidad de EE. UU.✅ ConformeInsignia «CCPA Compliant» en el Trust Center; incluido en el DPA
HIPAA + BAA⚠️ Disponible a solicitudSe ofrece, pero el informe y el BAA están restringidos tras una solicitud de acceso
ISO 27001❌ No es propia de GorgiasPertenece a Google Cloud, su proveedor de nube, no a Gorgias
PCI DSS❌ No la tieneLos datos de tarjetas no se almacenan; los pagos se delegan a Stripe

Así que el resumen honesto: SOC 2 Type II es la certificación que Gorgias posee y audita; el RGPD, la CCPA y la HIPAA se gestionan contractual y operativamente en lugar de como certificados independientes; y la ISO 27001 y la PCI DSS no son propias de Gorgias. Nada de esto es un demérito, es una postura normal y sólida para un helpdesk de ecommerce. Solo significa que deberías citar el informe SOC 2 Type II, no una insignia ISO 27001, cuando redactes tu revisión de proveedores. (Si el coste de todo esto es tu verdadera duda, nuestra guía de precios de Gorgias y el desglose del límite de tickets de Gorgias cubren el modelo de facturación.)

Más allá de la insignia: cómo gestiona Gorgias tus datos

Un certificado es un resumen. La sustancia es lo que hace el proveedor con tus datos cuando nadie está auditando, y el Whitepaper de Seguridad 2025 de Gorgias y su DPA son razonablemente específicos aquí.

Página de seguridad de Gorgias detallando cifrado, alojamiento y controles de acceso, tal como se ve en Gorgias

Cifrado. Gorgias envía datos «exclusivamente a través de conexiones cifradas con HTTPS TLS», y todos los datos en sus servidores se cifran en reposo con claves gestionadas en el servicio de gestión de claves de Google Cloud. Una pequeña advertencia para los minuciosos: las propias páginas de Gorgias dicen «cifrado en reposo» sin nombrar un cifrado específico como AES-256, así que si tu equipo de seguridad necesita eso por escrito, pídelo directamente.

Alojamiento y residencia. Gorgias funciona sobre Google Cloud Platform, no AWS, que es la suposición con la que muchos compradores llegan. Las copias de seguridad cifradas se mantienen en varias regiones de Google Cloud, y la lista de subprocesadores muestra que Google Cloud abarca EE. UU., la UE y Australia. Lo que Gorgias no promete públicamente es una opción de residencia exclusivamente en la UE para un solo cliente, así que si la residencia de datos es un requisito imprescindible para ti, confírmalo por escrito antes de firmar.

A dónde viajan realmente tus datos. Esta es la parte que una insignia SOC 2 por sí sola no te muestra. Los datos de soporte de tus clientes no solo permanecen dentro de Gorgias, fluyen hacia una lista de subprocesadores nombrados, y eso es exactamente lo que SOC 2 busca controlar.

Hacia dónde viajan los datos de soporte de Gorgias: desde el mensaje del comprador hasta el helpdesk de Gorgias en Google Cloud, y luego hacia los subprocesadores OpenAI, Stripe y Twilio
Hacia dónde viajan los datos de soporte de Gorgias: desde el mensaje del comprador hasta el helpdesk de Gorgias en Google Cloud, y luego hacia los subprocesadores OpenAI, Stripe y Twilio

La lista de subprocesadores (revisada por última vez el 30 de marzo de 2026) incluye a OpenAI para funciones de IA, Stripe para pagos, Twilio para SMS y voz, además de Cloudflare, Datadog y otros. Para la mayoría de estos, los datos residen en EE. UU., razón por la cual existe el mecanismo de transferencia a la UE en el DPA. Útilmente, la sección 5 del DPA te da 15 días de aviso previo ante cualquier nuevo subprocesador y una ventana de 10 días para objetar por motivos de protección de datos.

Notificación de brechas y eliminación. Dos cifras que vale la pena conocer. Ante una brecha de seguridad, Gorgias se compromete a notificarte dentro de un plazo fijo:

"[We] notify Customer of a Security Breach without undue delay, and in any event within 72 hours after becoming aware of it."

Esa línea proviene de la sección 6 del DPA de Gorgias. Y a la salida, la sección 9 obliga a Gorgias a devolver y eliminar tus datos personales dentro de los 90 días posteriores a la terminación del contrato, aunque las copias de seguridad pueden persistir durante un periodo razonable antes de caducar. Si quieres la guía práctica para solicitar la eliminación, escribimos una guía separada sobre el RGPD y la eliminación de datos de Gorgias.

Pruebas. Gorgias realiza pruebas de penetración de caja gris anuales y publica una página de estado pública para incidentes. Una inconsistencia que señalamos con honestidad: el whitepaper de 2025 describe un programa de recompensas por errores privado y activo, mientras que la página de seguridad en vivo dice que el programa de recompensas por errores está «actualmente en pausa». Menor, pero el tipo de cosa que un revisor cuidadoso nota. Por lo que vale, no encontramos ningún registro público de una brecha de datos real de Gorgias.

Controles de acceso: SSO, SAML y 2FA

Los certificados de cumplimiento cubren el back end. Día a día, el control de seguridad que tu equipo toca es el inicio de sesión, y aquí Gorgias es más generoso que la mayoría de los helpdesks en su nivel de entrada.

ControlDisponibilidad
SSO de Google y Microsoft 365✅ Todos los planes de Helpdesk
SAML SSO personalizado (Okta, JumpCloud)Configuración separada de «SSO personalizado» (nivel no indicado públicamente)
Autenticación de dos factores (2FA)Autoservicio; los administradores pueden forzarla, periodo de gracia de 14 días
Permisos basados en roles✅ Disponible
Verificación de correo como respaldoSe activa en ubicaciones nuevas / IPs sin uso durante 30 días

Lo destacable es que el SSO de Google y Microsoft está disponible en todos los planes de Helpdesk, sin estar restringido a un nivel empresarial, lo cual es una buena decisión. El SAML SSO personalizado a través de proveedores como Okta es una configuración separada, y la documentación de Gorgias no indica públicamente qué nivel de pago lo requiere, así que pregunta si el SAML es imprescindible. Los administradores también pueden hacer obligatoria la 2FA para todo el espacio de trabajo con un periodo de gracia de aplicación de 14 días, y configurar la incorporación automática por dominio de correo aprobado. Si administras la cuenta, nuestra guía de inicio de sesión de Gorgias cubre los aspectos básicos de acceso.

SOC 2 es el mínimo indispensable, no toda la historia

Aquí está el replanteamiento que nos gustaría que se llevara cualquier fundador de ecommerce. Un informe SOC 2 Type II es necesario, y Gorgias tiene uno bueno. Pero en 2026, tu herramienta de soporte ya no solo almacena tickets, está ejecutando un agente de soporte con IA de Gorgias que lee datos de pedidos de Shopify, emite reembolsos y edita suscripciones. La insignia audita los controles del proveedor; no responde qué hace su IA con tus datos.

Lo que confirma una insignia SOC 2 frente a las preguntas que no puede responder sobre un proveedor de soporte con IA
Lo que confirma una insignia SOC 2 frente a las preguntas que no puede responder sobre un proveedor de soporte con IA

Tres preguntas quedan fuera del alcance de un informe SOC 2 estándar, y son las que le haríamos a cualquier proveedor de soporte con IA, Gorgias incluido:

  • ¿El proveedor (o su subprocesador de IA) entrena modelos con tus datos? Gorgias usa OpenAI como subprocesador; los términos de la API de OpenAI dicen que los datos empresariales no se usan para entrenamiento, pero deberías confirmar esa cadena explícitamente en lugar de asumirlo.
  • ¿Cuán aislados están tus datos de otros clientes? El SaaS multiinquilino es normal, pero el rigor del aislamiento varía, y rara vez se detalla en una página de marketing.
  • ¿Cuánto puede realmente ver y hacer el agente de IA? Un agente que puede emitir reembolsos y leer el historial de pedidos de cada cliente representa una superficie de seguridad mayor que un chatbot que solo responde preguntas frecuentes. El control de alcance es una característica de seguridad.

Estas no son razones para evitar Gorgias, son el estándar que aplicarías a cualquier helpdesk con IA, y vale la pena incorporarlas a tu lista de verificación de proveedores junto al informe SOC 2. Si estás comparando opciones en este eje, nuestro repaso del mejor software de helpdesk con IA sopesa la gestión de datos, no solo las funciones. Hacemos lo mismo en nuestra guía sobre la mejor IA para soporte de Shopify.

Prueba eesel

Si estás evaluando una capa de soporte con IA con esas tres preguntas en mente, esa es exactamente la perspectiva para la que está construido eesel. eesel ejecuta agentes de IA autónomos dentro de los helpdesks que ya usas, y trata la gestión de datos como una característica de primer nivel: tus datos nunca se usan para entrenar ningún modelo, cada espacio de trabajo está completamente aislado de cualquier otro cliente, y controlas con precisión lo que el agente puede ver y hacer mediante una configuración de simulación y delimitación antes de que toque un ticket en vivo.

Página de seguridad de eesel mostrando insignias de confianza de RGPD, CCPA y Vanta, y su compromiso de no entrenar modelos

En el lado del cumplimiento, eesel cumple con el RGPD y la CCPA con DPA estándar y personalizados, honra las solicitudes de eliminación dentro de los 60 días, y está en proceso de obtener SOC 2 Type II bajo monitorización continua de Vanta (el informe completo estará disponible bajo NDA al finalizar). Puedes leer los detalles en la página de seguridad de eesel o empezar gratis y delimitar un agente con tus propios datos primero. Para el lado del coste de la comparación, nuestro desglose de precios de Gorgias detalla lo que realmente cuesta el agente de IA.

Preguntas frecuentes

¿Gorgias cumple con SOC 2?
Sí. Gorgias tiene SOC 2 Type II y lo ha renovado anualmente desde 2022, con el informe más reciente fechado el 12/31/2025. Type II es el más sólido de los dos informes SOC 2 porque audita si los controles funcionaron realmente durante una ventana de 6 a 12 meses, no solo si estaban diseñados correctamente en un día concreto.
¿Cómo obtengo una copia del informe SOC 2 de Gorgias?
Ve al Gorgias Trust Center, impulsado por Vanta, y solicita acceso al PDF restringido «SOC 2 Type II Report», o escribe a security@gorgias.com. Si ya eres cliente, el DPA de Gorgias te permite aceptar ese informe en lugar de realizar tu propia auditoría.
¿Gorgias cumple con el RGPD y la HIPAA?
Gorgias cumple con el RGPD y la CCPA, con un Acuerdo de Procesamiento de Datos público que cubre transferencias desde la UE, el Reino Unido y Suiza mediante Cláusulas Contractuales Estándar. El cumplimiento de HIPAA y un Acuerdo de Asociado Comercial están disponibles, pero ambos requieren una solicitud de acceso y no se publican abiertamente. Cubrimos el lado de la eliminación de datos en nuestra guía sobre el cumplimiento del RGPD de Gorgias.
¿Dónde almacena Gorgias mis datos?
Gorgias está alojado en Google Cloud Platform (no en AWS, a pesar de la suposición habitual), con datos cifrados en tránsito mediante TLS y cifrados en reposo usando el servicio de gestión de claves de Google Cloud. Las copias de seguridad se mantienen en varias regiones de Google Cloud. Las páginas públicas de Gorgias no garantizan una opción de residencia de datos exclusivamente en la UE para una cuenta concreta, así que confírmalo directamente si la residencia de datos es un requisito imprescindible para ti.
¿Es suficiente una insignia SOC 2 para confiar en una herramienta de soporte con IA?
No por sí sola. Un informe SOC 2 te dice que los controles de seguridad de un proveedor fueron auditados de forma independiente, pero no te dice si tu proveedor de IA entrena sus modelos con tus datos, cuán estrictamente se aísla la información de cada cliente, o cuánto puede ver y hacer tu agente de IA. Son preguntas independientes que vale la pena hacerle a cualquier proveedor de agente de helpdesk con IA, y es exactamente así como eesel gestiona la seguridad.

Share this article

Alicia Kirana Utomo

Article by

Alicia Kirana Utomo

Kira is a writer at eesel AI with a Computer Science background and over a year of hands-on experience evaluating AI-powered customer service tools. She focuses on breaking down how helpdesk platforms and AI agents actually work so that support teams can make better buying decisions.

Related Posts

All posts →
Imagen del banner para la seguridad y el cumplimiento de Zendesk: Una guía completa para 2026
Guides

Seguridad y cumplimiento de Zendesk: Una guía completa para 2026

Una guía completa de las funciones de seguridad empresarial de Zendesk, las certificaciones de cumplimiento y los controles de protección de datos para los equipos de TI y seguridad.

Stevia PutriStevia PutriMar 3, 2026
Ilustración del widget de chat web de Gorgias para el chat en vivo y soporte con IA de Shopify
Guides

Widget de chat web de Gorgias: guía completa de configuración, IA y costes en 2026

Cómo funciona el widget de chat web de Gorgias, cómo instalarlo y personalizarlo en Shopify, qué puede y no puede hacer su AI Agent, y cuánto cuesta realmente.

Riellvriany IndriawanRiellvriany IndriawanJun 15, 2026
Banner ilustrado para un desglose de precios de Gorgias AI, en coral Gorgias
Guides

Precios de Gorgias AI: guia completa de costos para 2026

Un desglose completo de los precios de Gorgias AI para 2026: los planes basados en tickets, el add-on de AI Agent a 0,90 $ por resolucion, el doble cobro oculto y lo que realmente pagas.

Riellvriany IndriawanRiellvriany IndriawanJun 15, 2026
Gorgias para Shopify: helpdesk de ecommerce, chat en vivo y agente de soporte con IA
Guides

Gorgias para Shopify: funciones, precios y el agente de IA, analizados (2026)

Cómo funciona Gorgias para tiendas Shopify: la integración nativa de pedidos, chat en vivo, automatización con el agente de IA, precios reales con un ejemplo práctico y dónde se queda corto.

Riellvriany IndriawanRiellvriany IndriawanJun 12, 2026
Banner hero ilustrado para un resumen de las 7 mejores alternativas a Gorgias en 2026
Guides

7 mejores alternativas a Gorgias en 2026

Gorgias está hecho para Shopify, pero su modelo de precios basado en tickets es difícil de justificar cuando escalas. Probamos 7 alternativas - desde las más económicas hasta las empresariales - para que encuentres la opción adecuada.

Alicia Kirana UtomoAlicia Kirana UtomoJun 14, 2026
Diagrama del flujo de automatización de Gorgias para Shopify con los logotipos de Gorgias y Shopify
Guides

Cómo configurar la automatización de Gorgias para Shopify (guía completa para 2026)

Gorgias ofrece cuatro capas de automatización distintas para tiendas Shopify. Aquí se explica cómo funciona cada una, cuál configurar primero y dónde se quedan cortas.

Stevia PutriStevia PutriJun 2, 2026
Ilustración de una tienda Shopify con el widget de chat bubble de Gorgias en la esquina
Guides

El chat bubble de Gorgias en Shopify: guía completa de configuración y personalización (2026)

Todo lo que los comerciantes de Shopify necesitan saber sobre el chat bubble de Gorgias: cómo instalarlo correctamente, personalizarlo, solucionar problemas cuando deja de funcionar y sacarle el máximo partido a la IA.

Stevia PutriStevia PutriJun 2, 2026
Una guía práctica de la API de seguridad y cumplimiento de Ada
Guides

Una guía práctica de la API de seguridad y cumplimiento de Ada

Explora la API de seguridad y cumplimiento de Ada, sus características principales para la gestión de datos y consideraciones clave sobre la complejidad técnica y los precios opacos. Descubre cómo alternativas más simples y de autoservicio pueden ofrecer seguridad robusta sin el trabajo pesado.

Stevia PutriStevia PutriOct 10, 2025
Precios de Gorgias AI: Desglose completo de costos y guía para 2026
Guides

Precios de Gorgias 2026: Costos de agentes AI y desglose de planes

Los precios de Gorgias AI ofrecen planes estructurados para adaptarse a diferentes tamaños de equipo. Esta guía explica cada costo e introduce a eesel AI como una opción complementaria para su conjunto de herramientas de soporte.

Kenneth PanganKenneth PanganApr 8, 2025

Listo para contratar tu companero de IA?

Configuracion en minutos. Sin tarjeta de credito requerida.

Comienza gratis