Seguridad y compliance
Dónde viven tus datos
- Aplicación y base de datos: Supabase en región EU-Frankfurt (eu-central-1).
- Embeddings vectoriales: mismo cluster de Supabase (pgvector).
- Modelos LLM: OpenAI. Usamos la API con
data_retention=false→ los prompts no se usan para entrenar modelos futuros. Los datos salen de la UE únicamente para la inferencia en tiempo real; no se persisten en la infraestructura de OpenAI. - Email: Resend (región EU).
- Observabilidad: Sentry y Langfuse en EU.
- Analytics: PostHog EU. Pseudonymizado; sin cookies por defecto.
Cifrado
- En tránsito: TLS 1.2+ en todas las conexiones.
- En reposo: AES-256 (gestionado por Supabase y Vercel).
- Secrets de usuario (tokens OAuth, API keys de WhatsApp): cifrados en el campo
source_configcon clave de aplicación (KMS tier) antes de persistir.
Autenticación
- Login con email+password (bcrypt cost 12) o Google OAuth.
- MFA opcional (TOTP) en plan Pro+.
- Sesiones con cookie
HttpOnly+Secure+SameSite=Lax; duración 30 días con refresh.
Rate limiting
- Endpoint público de chat: por IP + por bot. Límite por plan del dueño del bot.
- Endpoints autenticados: por usuario.
- Rate limits implementados en edge (respondidos sin llegar a Node) con Upstash Redis.
Subprocesadores
Lista completa y enlazada en nuestro DPA:
- OpenAI — inferencia LLM y embeddings.
- Supabase — almacenamiento + auth.
- Vercel — hosting.
- Stripe — pagos.
- Resend — email.
- Upstash — cache y rate limit.
- Sentry, Langfuse, PostHog — observabilidad.
- Firecrawl — crawl de URLs.
- 360Dialog — WhatsApp (opcional, por canal).
GDPR
- Derecho de supresión: disponible desde
/settings → Danger zone. Borrado completo en <72h. - Derecho de acceso: exportación ZIP de todos tus datos desde la misma pantalla.
- DPO (Data Protection Officer):
privacy@rag.art. - DPA firmable: descarga desde /legal/dpa. Si necesitas cambios, contáctanos.
EU AI Act
rag.art es un sistema de IA de riesgo limitado según el Artículo 52 del reglamento. Cumplimos:
- Disclosure obligatoria al usuario de que está hablando con IA (banner "Estás hablando con un bot" al abrir el chat).
- Logs de uso conservados 90 días.
- Evaluaciones de sesgo documentadas trimestralmente.
- No hacemos sistemas de alto riesgo (no valoración crediticia, no RRHH, no educación).
Retención de datos
- Mensajes de chat: 90 días por defecto; configurable a 30 o 180 en
/settings. Plan Enterprise permite retention custom. - Logs de sistema: 30 días.
- Backups de base: 7 días en rolling.
- Al borrar cuenta: borrado cascada en <72h; backups respetan el borrado en el próximo ciclo.
Bug bounty
Ver security.txt y /security. Reportes responsables a security@rag.art.
Certificaciones
- SOC2 Type I: en curso (esperado Q3 2026).
- ISO 27001: en curso (esperado Q4 2026).
Mientras tanto, operamos bajo los controles de Supabase (SOC2 Type II), Vercel (ISO 27001) y Stripe (PCI-DSS Level 1) — los tres subprocesadores que manejan datos sensibles del cliente.