Cómo mantenemos ISMS Copilot seguro y preciso
ISMS Copilot ayuda a los profesionales de cumplimiento a redactar políticas, analizar requisitos de auditoría y navegar por marcos complejos como ISO 27001 y SOC 2. Hemos integrado salvaguardas en cada capa de la plataforma para proteger sus datos sensibles y asegurar que nuestra IA entregue resultados fiables y listos para auditoría, no consejos genéricos que podrían descarrilar su certificación.
Nuestro enfoque combina protecciones técnicas, controles de precisión y salvaguardas operativas a lo largo de todo el ciclo de vida de sus datos.
Protección de datos por diseño
El trabajo de cumplimiento implica datos organizativos sensibles. Los protegemos mediante:
Cifrado de extremo a extremo: TLS 1.3 en tránsito, AES-256 en reposo. Sus datos se cifran antes de llegar a nuestros servidores y mientras están almacenados.
Alojamiento en la UE y cumplimiento del RGPD: Toda la infraestructura se ejecuta en Frankfurt (AWS EU-Central-1). Actuamos como su encargado del tratamiento según el RGPD con todas las obligaciones del Artículo 28, Cláusulas Contractuales Tipo y Acuerdo de Procesamiento de Datos.
Aislamiento de espacios de trabajo: La seguridad a nivel de fila garantiza que los clientes y proyectos nunca se mezclen. Cada espacio de trabajo es un entorno separado.
Cero entrenamiento con sus datos: Prohibimos contractualmente a los proveedores de IA (Mistral AI, OpenAI, xAI) utilizar sus entradas o salidas para el entrenamiento de modelos. Sus datos de cumplimiento siguen siendo suyos.
Retención controlada por el usuario: Configure la retención desde 1 día hasta 7 años o elimine los datos inmediatamente. La eliminación automática se ejecuta diariamente. La eliminación de la cuenta borra todos los datos en un plazo de 30 días.
Para una privacidad máxima, active el Modo de Protección de Datos Avanzado para enrutar todas las consultas a través de Mistral AI alojado solo en la UE con cero retención de datos.
Prevención de alucinaciones y consejos imprecisos
Las herramientas de IA genéricas como ChatGPT pueden inventar con seguridad requisitos de control o malinterpretar estándares. Evitamos esto mediante:
Inyección Dinámica de Conocimiento de Marcos: Cuando menciona un marco (ISO 27001, SOC 2, RGPD, etc.), nuestro sistema inyecta automáticamente conocimiento verificado de nuestra base de datos patentada antes de que la IA responda. Esto elimina las alucinaciones sobre controles y requisitos.
Base de conocimientos propia: Creada a partir de cientos de proyectos de consultoría reales, no de contenido web extraído. Mantenemos la precisión mediante el control de versiones y actualizaciones periódicas a medida que los estándares evolucionan.
Descargos de responsabilidad por incertidumbre: Cuando la IA no está segura, lo indica y le solicita que verifique con el estándar oficial. Delimitamos las respuestas estrictamente al cumplimiento, sin generación de contenido fuera de tema.
ISMS Copilot acelera los flujos de trabajo de cumplimiento, pero no sustituye el juicio profesional. Verifique siempre los resultados críticos con la documentación oficial del marco y consulte con auditores cualificados para las decisiones de certificación.
Autenticación y controles de acceso
Imponemos el acceso seguro mediante:
Verificación obligatoria de correo electrónico: Todas las cuentas requieren un correo verificado antes del acceso.
OAuth con soporte MFA: Inicie sesión a través de Google o Microsoft con autenticación de múltiples factores. Recomendamos habilitar MFA en su proveedor de identidad.
Hashing de contraseñas: Las contraseñas se cifran con bcrypt. Nunca almacenamos credenciales en texto plano.
Gestión de sesiones: Los tokens JWT expiran automáticamente para limitar las ventanas de acceso no autorizado.
Prevención de abusos y monitoreo
Supervisamos el mal uso preservando la privacidad:
Moderación automática de contenido: Las API de los proveedores de IA analizan todos los mensajes en busca de contenido prohibido. El contenido marcado se conserva durante 1 año para revisión administrativa; los metadatos no marcados se eliminan después de 30 días.
Limitación de tasa: Los usuarios del plan gratuito están limitados a 10 mensajes cada 4 horas para evitar abusos. Los planes de pago tienen cuotas más altas.
Monitoreo de errores: Sentry rastrea errores técnicos utilizando UUID anónimos; no se registra el contenido de los mensajes.
Analítica que preserva la privacidad: PostHog sin cookies y sin información de identificación personal.
Redacción de datos sensibles
Active el Modo de Reducción de PII para ocultar automáticamente nombres, direcciones de correo electrónico y números de teléfono antes de enviar datos a los proveedores de IA. Esto añade una capa extra de protección al subir documentos o discutir asuntos de personal.
Respuesta ante incidentes
Si surge un problema de seguridad, nuestro proceso de respuesta garantiza:
Evaluación en un plazo de 24 horas
Comunicación a los usuarios afectados en un plazo de 72 horas en caso de brechas de datos (RGPD Artículo 33)
Seguimiento de remediación y revisión post-incidente
Informe cualquier problema de seguridad a [email protected].
Qué nos hace diferentes
A diferencia de las herramientas de IA generales, ISMS Copilot está diseñado específicamente para el cumplimiento:
Sin alucinaciones en los controles: La inyección de marcos garantiza la precisión en ISO 27001, SOC 2 y otros estándares.
Alojado en la UE con cero entrenamiento: Sus datos nunca salen de la UE (con el Modo Avanzado) y nunca se usan para entrenar modelos.
Resultados listos para auditoría*: Políticas estructuradas y análisis de brechas, no respuestas conversacionales que deba reformatear. *Revise siempre de todos modos, es lo correcto.
Organización del espacio de trabajo: Separación de múltiples clientes y proyectos integrada.
Para obtener información detallada sobre el procesamiento de datos, consulte nuestra Política de Privacidad y el Acuerdo de Procesamiento de Datos.