Centro de Confianza
rag.art lo construye un equipo pequeño sobre infraestructura alojada en la UE. Esta página es una descripción viva de cómo tratamos tus datos.
Residencia de datos en la UE
Todos los datos de producción se almacenan en Supabase, alojado en la UE (Irlanda, eu-west-1). Sin replicación fuera de la UE salvo con cláusulas contractuales tipo (SCC) documentadas.
Cifrado
AES-256 en reposo (Postgres + almacenamiento de objetos). TLS 1.2+ en tránsito. Conexiones a la base de datos fijadas a endpoints de la UE.
Controles de acceso
Mínimo privilegio por defecto. El acceso a producción queda auditado. Las credenciales de service-role se rotan bajo demanda.
Registro de auditoría
Los endpoints con escritura intensa generan eventos solo-añadir (append-only). Las acciones relevantes para la seguridad (borrados, cambios de rol) se conservan 24 meses.
Subencargados
Supabase, OpenAI, Anthropic, Vercel, Stripe, Resend. Lista completa en el DPA.
Hoja de ruta de cumplimiento
GDPR + LOPDGDD activos hoy. Auditoría SOC 2 Type II programada para Q3 2026 (Vanta + auditor externo). ISO 27001 en hoja de ruta para H2 2026.
Reportes
Las divulgaciones de seguridad van a security@rag.art. Seguimos la RFC 9116 — consulta security.txt. Para solicitudes de los interesados, escribe a privacy@rag.art o usa los endpoints in-product desde /settings.