Seguridad y compliance

Dónde viven tus datos

• Aplicación y base de datos: Supabase en región UE — Irlanda (eu-west-1).
• Embeddings vectoriales: mismo cluster de Supabase (pgvector).
• Modelos LLM: el modelo por defecto es Gemma 4 servido a través de OpenRouter; OpenAI se usa para los embeddings (text-embedding-3-small). En ambos casos los prompts no se usan para entrenar modelos futuros (opt-out de entrenamiento). Los datos salen de la UE únicamente para la inferencia en tiempo real (EE. UU., bajo SCC + DPF); no se persisten en la infraestructura del proveedor.
• Email: Resend (región EU).
• Observabilidad: Sentry y Langfuse en EU.
• Analytics: PostHog EU. Pseudonymizado; sin cookies por defecto.

Cifrado

• En tránsito: TLS 1.2+ en todas las conexiones.
• En reposo: AES-256 (gestionado por Supabase y Vercel).
• Secrets de usuario (tokens OAuth, API keys de WhatsApp): cifrados en el campo source_config con clave de aplicación (KMS tier) antes de persistir.

Autenticación

• Login con email+password (bcrypt cost 12) o Google OAuth.
• MFA opcional (TOTP) en plan Pro+.
• Sesiones con cookie HttpOnly + Secure + SameSite=Lax; duración 30 días con refresh.

Rate limiting

• Endpoint público de chat: por IP + por bot. Límite por plan del dueño del bot.
• Endpoints autenticados: por usuario.
• Rate limits implementados en edge (respondidos sin llegar a Node) con Upstash Redis.

Subprocesadores

Lista completa y enlazada en nuestro DPA:

• OpenRouter — inferencia LLM (modelo por defecto Gemma 4); enrutador de proveedores, sin retención para entrenamiento. Inferencia en EE. UU. bajo SCC + DPF.
• OpenAI — embeddings (text-embedding-3-small); con opt-out de entrenamiento. Inferencia en EE. UU. bajo SCC + DPF.
• Supabase — almacenamiento + auth (UE, Irlanda eu-west-1).
• Vercel — hosting.
• Stripe — pagos.
• Resend — email.
• Upstash — cache y rate limit.
• Sentry, Langfuse, PostHog — observabilidad.
• Firecrawl — crawl de URLs.
• 360Dialog — WhatsApp (opcional, por canal).

GDPR

• Derecho de supresión: disponible desde /settings → Danger zone. Borrado completo en <72h.
• Derecho de acceso: exportación ZIP de todos tus datos desde la misma pantalla.
• DPO (Data Protection Officer): privacy@rag.art.
• DPA firmable: descarga desde /legal/dpa. Si necesitas cambios, contáctanos.

EU AI Act

rag.art es un sistema de IA de riesgo limitado según el Artículo 52 del reglamento. Cumplimos:

• Disclosure obligatoria al usuario de que está hablando con IA (banner "Estás hablando con un bot" al abrir el chat).
• Logs de uso conservados 90 días.
• Evaluaciones de sesgo documentadas trimestralmente.
• No hacemos sistemas de alto riesgo (no valoración crediticia, no RRHH, no educación).

Retención de datos

• Mensajes de chat: 90 días por defecto; configurable a 30 o 180 en /settings. Plan Enterprise permite retention custom.
• Logs de sistema: 30 días.
• Backups de base: 7 días en rolling.
• Al borrar cuenta: borrado cascada en <72h; backups respetan el borrado en el próximo ciclo.

Bug bounty

Ver security.txt y /security. Reportes responsables a security@rag.art.

Certificaciones

• SOC2 Type I: en curso (esperado Q3 2026).
• ISO 27001: en curso (esperado Q4 2026).

Mientras tanto, operamos bajo los controles de Supabase (SOC2 Type II), Vercel (ISO 27001) y Stripe (PCI-DSS Level 1) — los tres subprocesadores que manejan datos sensibles del cliente.