Privacidad y seguridad: cómo trata FlockConnect los datos de su iglesia

¿Quién puede ver los datos de sus personas?

El acceso parte de tres roles: el propietario de la cuenta, los administradores y los Care Partners (compañeros de cuidado). Los propietarios ven todo lo de su iglesia. Los administradores ven lo que sus permisos les permiten, y esos permisos son granulares: cubren cosas como las señales de donativos, Collie y la gestión de usuarios, de modo que darle a alguien acceso a los formularios no le entrega también las notas pastorales. Los Care Partners ven únicamente a las personas que les fueron asignadas mediante una asignación de cuidado directa, por hogar, por grupo o por ministerio, y ese límite se aplica en la base de datos, no solo se oculta en la interfaz.

Sus miembros nunca tienen cuentas. Interactúan con FlockConnect a través de enlaces seguros limitados a un solo propósito y hechos para expirar, así que no hay una contraseña de miembro que perder. Y los datos de cada iglesia quedan acotados a esa iglesia: la separación se aplica en la base de datos con seguridad a nivel de fila y se vuelve a comprobar en el servidor con cada solicitud.

• Su iglesia es dueña de sus datos. FlockConnect los procesa según sus instrucciones, nunca los vende y nunca los usa para publicidad.
• Tres roles con acceso acotado: propietarios, administradores con permisos granulares y Care Partners que ven solo a sus personas asignadas.
• Cada nota pastoral lleva un ajuste de visibilidad en lenguaje sencillo, que se muestra junto a un ajuste de Collie aparte, registro por registro, desactivado de manera predeterminada para las notas pastorales.
• Los propietarios y administradores deben usar MFA, reconfirmada cada 30 días, y las acciones sensibles como exportar datos la exigen de nuevo.
• Los donativos muestran solo la cadencia, nunca los montos, y solo al personal que usted permita de manera específica.
• Collie prepara borradores y una persona aprueba. El propietario de la cuenta puede exportarlo todo como ZIP, y la eliminación abre una ventana reversible de 90 días.

¿Cómo funciona la visibilidad de las notas?

Las notas pastorales y los registros de cuidado llevan un ajuste de visibilidad escrito en lenguaje sencillo, desde visible solo para el propietario, pasando por un conjunto de administradores seleccionados, hasta el equipo de cuidado alrededor de una persona. Cuando usted elige un nivel, FlockConnect le muestra con palabras exactamente quién puede ver la nota y quién no.

Collie se gobierna con un control separado. La visibilidad decide qué personas pueden ver un registro; un ajuste de Collie aparte, registro por registro y desactivado de manera predeterminada para las notas pastorales, decide si Collie puede usarlo como contexto. Usted decide ambos ajustes.

¿Es obligatoria la autenticación multifactor?

Sí, para los roles que más pueden ver. Los propietarios de cuenta y los administradores deben inscribirse en la autenticación multifactor (MFA), y FlockConnect la vuelve a confirmar cada 30 días; un propietario o administrador sin una verificación reciente es redirigido al paso de MFA antes de poder seguir usando la aplicación. Esto lo hace cumplir el producto, no es una sugerencia de política.

Las acciones sensibles van más allá. Exportar datos, gestionar la facturación o las integraciones, cambiar la visibilidad de un registro, aprobar una acción de Collie y gestionar usuarios son, cada una, acciones sensibles que exigen MFA. La MFA de los Care Partners es opcional, y su iglesia puede exigirla con un solo ajuste.

¿Qué sabe FlockConnect sobre los donativos?

La cadencia, nunca los montos. FlockConnect registra el ritmo de los donativos de un hogar, si un patrón regular se pausó o cambió, porque un cambio de ritmo suele ser una señal silenciosa de que una familia se está alejando. No registra montos, fondos ni totales por donante. No hay dónde guardar un monto: los montos se descartan en la frontera de importación, y la propia señal de donativos no tiene un campo para ellos.

Ver las señales de donativos es un permiso propio, separado del acceso general a las personas, así que la cadencia es visible solo para el personal que usted permita de manera específica. Los umbrales de salud de conexión que la usan los ajusta su iglesia en la Configuración.

¿Qué tiene permitido ver y hacer Collie?

Collie, el asistente de IA de FlockConnect, trabaja detrás de dos fronteras. La primera es el reemplazo de datos: antes de que cualquier texto salga del servidor hacia un proveedor de IA, los nombres de los miembros se sustituyen por etiquetas provisionales estables, y una verificación que bloquea por defecto rechaza la solicitud de plano si en el contexto aparecen correos electrónicos o teléfonos sin sustituir, o campos inesperados. Los nombres reales se restauran solo cuando el borrador regresa, de modo que su revisor los ve y el modelo no los vio. Conforme a nuestra política de privacidad, el procesamiento de IA pasa por proveedores bajo términos de cero retención de datos, y el reemplazo y la minimización de datos se aplican donde es posible; no afirmamos que ningún detalle sensible pueda llegar jamás a un modelo, y justo por eso existe la segunda frontera.

La segunda frontera es una persona. Collie solo prepara borradores: cada escritura externa y cada mensaje dirigido a un miembro exige primero revisión y aprobación humanas, y ese requisito se aplica en el servidor, no solo en la interfaz. Collie nunca envía nada por su cuenta, y aprobar una acción de Collie es en sí un paso sensible protegido con MFA. Collie es un apoyo y puede equivocarse; no sustituye el juicio pastoral.

¿Puedo sacar mis datos?

Sí, en cualquier momento. El propietario de la cuenta puede solicitar una exportación completa del espacio de trabajo desde la Configuración; es una acción exclusiva del propietario y exige MFA. La exportación llega como un archivo ZIP: los datos tabulares como archivos CSV, los registros anidados, como los formularios y los artefactos aprobados de Collie, como JSONL, más un manifiesto que lista cada archivo, los conteos de registros y la ventana de la instantánea. Se incluyen las personas, los hogares, los grupos, los ministerios, los registros de cuidado, los formularios y sus envíos, las escrituras al calendario y los metadatos de integraciones.

La exportación se construye a partir de listas explícitas de campos permitidos, nunca de un volcado directo de la base de datos, así que las credenciales de conexión, los tokens de seguridad y otros secretos nunca se incluyen. Los enlaces de descarga duran 15 minutos, la MFA se vuelve a comprobar al descargar, cada descarga se registra antes de entregar el archivo, y el archivo de exportación se elimina por sí solo 7 días después de generarse.

¿Qué pasa si eliminamos nuestra cuenta?

La eliminación es deliberada y, al principio, reversible. Cuando el propietario de la cuenta la solicita (se exige MFA), FlockConnect abre una ventana de 90 días: durante la ventana usted todavía puede exportar sus datos, y puede cancelar la solicitud por completo si cambia de opinión.

Pasados los 90 días, la eliminación avanza por etapas con verificaciones de seguridad en el camino, entre ellas confirmar que no haya una suscripción activa, una retención legal o una disputa de facturación abierta, y revocar las credenciales de Planning Center, Google y Microsoft que FlockConnect guardaba para su iglesia. Dos advertencias honestas: los proveedores externos conservan sus propios registros bajo sus propias políticas, y los respaldos, las bitácoras y los registros de auditoría pueden persistir por un periodo después de eliminarse los registros principales, con las bitácoras de seguridad y auditoría conservadas más tiempo cuando la ley o una investigación activa lo exige. No le diremos que la eliminación es instantánea, porque no está diseñada para serlo.

¿Dónde está todo esto por escrito?

La política de privacidad y los términos de servicio publicados en este sitio, en inglés, son los documentos vigentes, y las promesas de arriba los reafirman: su iglesia es dueña de sus datos, FlockConnect los procesa según las instrucciones de su iglesia, y los datos de miembros y los datos pastorales nunca se venden ni se usan para publicidad. La política nombra cada categoría de proveedor en la que nos apoyamos, y si confirmamos una vulneración que afecte sus datos, se lo notificamos a su iglesia sin demora indebida.

Como los miembros no tienen cuentas, las solicitudes para acceder, corregir o eliminar la información de un miembro se canalizan a través de su iglesia, con FlockConnect como apoyo. Los miembros pueden gestionar sus propias preferencias de comunicación mediante un enlace seguro, aunque esa página maneja el consentimiento, no el acceso a datos. No presumimos de certificaciones que no tenemos; lo que publicamos en la página de confianza y seguridad es lo que podemos demostrar. Sus preguntas son bienvenidas en support@flockconnect.com.