Seguridad en Conviro

Seguridad de nivel empresarial construida desde cero. Los datos de sus clientes y conversaciones están protegidos en cada capa.

Cifrado

En Tránsito: Todos los datos se cifran con TLS 1.2+ con cifrado de 256 bits. Todos los endpoints de API, webhooks y conexiones de widget son solo HTTPS. HSTS está habilitado con una duración máxima de 1 año incluyendo subdominios.

En Reposo: Los datos de clientes se cifran con AES-256 en la capa de almacenamiento. Los volúmenes de base de datos utilizan cifrado de disco completo. Los archivos de copia de seguridad están cifrados con claves independientes.

Gestión de Secretos: Las claves API, tokens y credenciales están cifrados en reposo con jerarquías de claves independientes y nunca se registran ni se exponen en las respuestas de la API.

Infraestructura

Centro de Datos: Toda la infraestructura de producción está alojada en centros de datos con certificación ISO 27001 en la Unión Europea (Alemania). Los servidores no son accesibles desde internet público.

Aislamiento de Red: Los servicios de base de datos, caché y cola de mensajes funcionan en redes privadas sin direcciones IP públicas. Solo la API y la aplicación web tienen endpoints públicos, detrás de un proxy inverso con limitación de velocidad y protección DDoS.

Monitorización: Monitorización de infraestructura 24/7 con alertas automatizadas. Objetivo de disponibilidad: 99,9 %.

Control de Acceso

Autenticación: Correo electrónico/contraseña con hash bcrypt (rondas de sal: 12) o Google OAuth 2.0. Tokens de acceso basados en JWT con expiración de 15 minutos y tokens de actualización criptográficamente aleatorios.

Autorización: Control de acceso basado en roles (RBAC) con roles de Propietario, Administrador y Agente. Autenticación con clave API para acceso programático con alcance de permisos por clave.

Limitación de Velocidad: Límites de velocidad por IP y por cuenta en todos los endpoints. Los endpoints de autenticación tienen límites más estrictos para prevenir ataques de fuerza bruta.

Cumplimiento

GDPR: Cumplimiento completo con el Reglamento General de Protección de Datos de la UE. Acuerdos de Procesamiento de Datos (DPA) disponibles para clientes Enterprise. Principios de privacidad por diseño aplicados en toda la plataforma.

Residencia de Datos: Todos los datos de clientes se almacenan y procesan dentro de la UE. Los proveedores de modelos de IA procesan datos de conversación bajo DPA con las salvaguardias adecuadas para transferencias a EE. UU. (EU-US DPF, Cláusulas Contractuales Estándar).

Cumplimiento de Cookies: Banner de consentimiento de cookies conforme con GDPR con control granular por categoría (Esencial, Analítica, Marketing). Los registros de consentimiento se almacenan con fines de auditoría.

Ley de Protección de Datos de Estonia: Conforme con las regulaciones locales de Estonia. Autoridad supervisora: Inspección de Protección de Datos de Estonia (Andmekaitse Inspektsioon).

Retención y Eliminación de Datos

Datos de Conversación: Retenidos según la configuración de su espacio de trabajo (predeterminado: 90 días). Configurable por espacio de trabajo.

Eliminación de Cuenta: Cuando elimina su cuenta o un chatbot, todos los datos asociados se eliminan de forma definitiva e inmediata de las bases de datos activas. Las copias de seguridad cifradas que contienen los datos eliminados se eliminan permanentemente en un plazo de 30 días.

Derecho de Supresión: Las solicitudes del Artículo 17 del GDPR se procesan en un plazo de 30 días. Contacte con [email protected].

Seguridad del Modelo de IA

Aislamiento de Datos: Su base de conocimientos y los datos de conversación nunca se utilizan para entrenar modelos de IA. Los datos de cada espacio de trabajo están estrictamente aislados.

Acuerdos con Proveedores: Mantenemos Acuerdos de Procesamiento de Datos con todos los proveedores de IA (Anthropic, OpenAI, Google). Los acuerdos de API de retención cero garantizan que los proveedores no almacenen sus datos.

Filtrado de Contenido: Los resultados de la IA se supervisan para garantizar la seguridad. Se aplican protecciones contra inyección de prompts y filtros de seguridad de contenido a todas las interacciones de IA.

Divulgación de Vulnerabilidades

Si cree haber encontrado una vulnerabilidad de seguridad en Conviro, infórmelo de manera responsable a nuestro equipo de seguridad. No divulgue la vulnerabilidad públicamente hasta que hayamos tenido la oportunidad de abordarla.

Contacto: [email protected]

Nos comprometemos a:

  • Acusar recibo de su informe en un plazo de 24 horas.
  • Proporcionar un cronograma de corrección en un plazo de 72 horas.
  • Mantenerle informado de nuestro progreso.
  • No emprender acciones legales contra investigadores de seguridad de buena fe.