Seguridad y compliance

Dónde viven tus datos

Aplicación y base de datos: Supabase en región EU-Frankfurt (eu-central-1).
Embeddings vectoriales: mismo cluster de Supabase (pgvector).
Modelos LLM: OpenAI. Usamos la API con data_retention=false → los prompts no se usan para entrenar modelos futuros. Los datos salen de la UE únicamente para la inferencia en tiempo real; no se persisten en la infraestructura de OpenAI.
Email: Resend (región EU).
Observabilidad: Sentry y Langfuse en EU.
Analytics: PostHog EU. Pseudonymizado; sin cookies por defecto.

Cifrado

En tránsito: TLS 1.2+ en todas las conexiones.
En reposo: AES-256 (gestionado por Supabase y Vercel).
Secrets de usuario (tokens OAuth, API keys de WhatsApp): cifrados en el campo source_config con clave de aplicación (KMS tier) antes de persistir.

Autenticación

Login con email+password (bcrypt cost 12) o Google OAuth.
MFA opcional (TOTP) en plan Pro+.
Sesiones con cookie HttpOnly + Secure + SameSite=Lax; duración 30 días con refresh.

Rate limiting

Endpoint público de chat: por IP + por bot. Límite por plan del dueño del bot.
Endpoints autenticados: por usuario.
Rate limits implementados en edge (respondidos sin llegar a Node) con Upstash Redis.

Subprocesadores

Lista completa y enlazada en nuestro DPA:

OpenAI — inferencia LLM y embeddings.
Supabase — almacenamiento + auth.
Vercel — hosting.
Stripe — pagos.
Resend — email.
Upstash — cache y rate limit.
Sentry, Langfuse, PostHog — observabilidad.
Firecrawl — crawl de URLs.
360Dialog — WhatsApp (opcional, por canal).

Derecho de supresión: disponible desde /settings → Danger zone. Borrado completo en <72h.
Derecho de acceso: exportación ZIP de todos tus datos desde la misma pantalla.
DPO (Data Protection Officer): privacy@rag.art.
DPA firmable: descarga desde /legal/dpa. Si necesitas cambios, contáctanos.

EU AI Act

rag.art es un sistema de IA de riesgo limitado según el Artículo 52 del reglamento. Cumplimos:

Disclosure obligatoria al usuario de que está hablando con IA (banner "Estás hablando con un bot" al abrir el chat).
Logs de uso conservados 90 días.
Evaluaciones de sesgo documentadas trimestralmente.
No hacemos sistemas de alto riesgo (no valoración crediticia, no RRHH, no educación).

Retención de datos

Mensajes de chat: 90 días por defecto; configurable a 30 o 180 en /settings. Plan Enterprise permite retention custom.
Logs de sistema: 30 días.
Backups de base: 7 días en rolling.
Al borrar cuenta: borrado cascada en <72h; backups respetan el borrado en el próximo ciclo.

Bug bounty

Ver security.txt y /security. Reportes responsables a security@rag.art.

Certificaciones

SOC2 Type I: en curso (esperado Q3 2026).
ISO 27001: en curso (esperado Q4 2026).

Mientras tanto, operamos bajo los controles de Supabase (SOC2 Type II), Vercel (ISO 27001) y Stripe (PCI-DSS Level 1) — los tres subprocesadores que manejan datos sensibles del cliente.