Seguridad y Privacidad
en ISMS Copilot
Desarrollamos herramientas de cumplimiento para profesionales de seguridad. La seguridad de sus datos no es solo una característica — es nuestra base.
Cumplimiento total del RGPD con DPA disponible
Residencia completa de datos UE con Protección Avanzada
Proveedores de infraestructura (AWS, Supabase) poseen attestaciones SOC 2 Type II
Prácticas de Seguridad
Cómo protegemos sus datos de cumplimiento
Cifrado en tránsito
Todas las conexiones aseguradas con TLS 1.3. Ningún dato sin cifrar sale de su navegador.
Cifrado en reposo
Cifrado AES-256 para todos los datos almacenados. Base de datos y almacenamiento cifrados por defecto.
Seguridad a nivel de fila
Aislamiento de acceso a nivel de base de datos. Los usuarios solo pueden acceder a sus propios datos.
Centro de datos UE
Infraestructura principal alojada en Fráncfort, Alemania (AWS EU-Central-1). Los datos permanecen en la UE.
Infraestructura SOC 2 Type II
Basada en Supabase y AWS, ambos con attestación SOC 2 Type II. Seguridad empresarial por defecto.
Sin entrenamiento de IA
Sus datos nunca se utilizan para entrenar modelos de IA. Todos los proveedores de IA están contractualmente obligados.
Redacción de DPI
La redacción integrada de datos personales elimina automáticamente la información sensible antes de que llegue a los proveedores de IA.
Residencia de Datos
Elija dónde se procesan sus datos
Modo Estándar
- Base de datosEUUE (Fráncfort)
- AlmacenamientoEUUE (Fráncfort)
- Procesamiento IAUSAnthropic Claude (directo) y OpenRouter → Inceptron / DeepInfra / Cerebras / Google Vertex (allowlist + ZDR)
- Retención IA30 días
- Moderación de contenidoEUMistral AI
- Failover IAEUMistral AI (UE)
- Garantías de datosCláusulas Contractuales Tipo
Protección Avanzada de Datos
- Base de datosEUUE (Fráncfort)
- AlmacenamientoEUUE (Fráncfort)
- Procesamiento IAEUSolo Mistral AI
- Retención IASin retención
- Moderación de contenidoEUMistral AI
- Failover IAEUMistral AI (UE)
- Transferencias a EE.UU.Eliminadas
La base de datos y el almacenamiento de archivos siempre están alojados en la UE (Fráncfort, Alemania), independientemente del modo seleccionado.
Los metadatos de moderación se conservan 12 meses para revisión de seguridad (sin contenido de mensaje). Los hilos con mensajes marcados están bloqueados contra eliminación por el usuario. Consulte DPA §2.8.
Las direcciones de correo son procesadas por SendGrid y Kit (EE.UU.) con Cláusulas Contractuales Tipo en todos los modos.
Subencargados
Servicios de terceros que procesan datos en nuestro nombre
| Servicio | Finalidad | Ubicación | Retención |
|---|---|---|---|
| Supabase | Database & Authentication | EUEU (Frankfurt, Germany) | User-controlled |
| AWS | Infrastructure | EUEU (Frankfurt, Germany) | User-controlled |
| Anthropic (Claude) | AI Processing (default routing, ADP off) | USUnited States | 30 days (abuse monitoring only, not training) |
| OpenRouter | Routing aggregator (ADP off) — routes only to the four allowlisted underlying providers below; mandatory Zero Data Retention enforced at account level | USUnited States | Zero retention (mandatory at OpenRouter account level) |
| ↳ Inceptron | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ DeepInfra | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ Cerebras | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| ↳ Google Vertex | AI Processing (via OpenRouter, ZDR enforced) | USUnited States | Zero retention |
| Mistral AI | AI Processing (ADP), content moderation, failover, conversation summaries | EUEU (Frankfurt) | Zero retention |
| Fly.io | Chat API Service | EUEU-based deployment | 7 days (logs) |
| ConvertAPI | Document Format Conversion (ISO 27001:2022) | EUEU (Frankfurt) | Zero retention (in-memory only) |
| Stripe | Payment Processing | USUnited States | Per Stripe policy (PCI DSS Level 1) |
| PostHog | Product Analytics | EUEU (Frankfurt) | Up to 7 years (anonymized) |
| Sentry | Error Tracking & Monitoring | EUGermany | Up to 90 days (PII-scrubbed, no IP stored) |
| Vercel | Web Hosting & Analytics | EUEU (Frankfurt) | Anonymized (cookieless) |
| SendGrid (Twilio) | Legal Update Emails | USUnited States | Until account deletion or unsubscribe |
| Kit (ConvertKit) | Onboarding & Product Emails | USUnited States | Until account deletion or unsubscribe |
Integraciones activadas por el cliente
Activas para sus datos solo cuando su organización las instala.
| Servicio | Finalidad | Ubicación | Retención |
|---|---|---|---|
| Slack Technologies, Inc. | heygrc bot — receives messages addressed to the bot, posts AI responses back. Activated only when a paid-organization owner installs from the Connectors page; uninstall hard-deletes integration records. | USUnited States | Active while integration installed |
Última actualización: abril 2026 · Aviso previo de 30 días antes de añadir nuevos subencargados. Las integraciones activadas por el cliente no están sujetas a esta regla porque no fluyen datos hasta que su organización las instale explícitamente.
Contenido de terceros
Contenido de código abierto y Creative Commons incorporado a la plataforma, con atribución a los responsables originales.
Skill Revisión de informes SOC 2
Adapta el SOC 2 Reliability Rubric mantenido por el SOC 2 Quality Guild. La taxonomía de 11 señales y los pilares Structure / Substance / Source provienen del rubric del Guild; el flujo conversacional, los veredictos y la scorecard son la adaptación de este proyecto. Conforme a CC BY-SA 4.0 §3(b)(1), esta adaptación también se publica bajo CC BY-SA 4.0.
Documentos Legales
Documentación de transparencia disponible para consulta
Acuerdo de Procesamiento de Datos
DPA conforme al artículo 28 del RGPD
Política de Privacidad
Cómo recopilamos, usamos y protegemos sus datos
Términos de Servicio
Términos que rigen el uso de ISMS Copilot
Registro de Actividades de Tratamiento
RoPA detallando todas las operaciones de tratamiento
Cumplimiento de la propiedad intelectual
Cómo adquirimos los estándares, protegemos los derechos de PI en la orientación de IA y acreditamos el contenido de terceros
Registro de cambios de los documentos legales
Resumen acumulativo de las revisiones de nuestros documentos legales