ISMS Copilot
Seguridad

Descripción general de seguridad y protección de datos - Actualizado

Descripción general

ISMS Copilot implementa medidas de seguridad de grado empresarial para proteger sus datos confidenciales de cumplimiento. Este artículo explica cómo se aseguran sus datos, dónde se almacenan y qué controles existen para garantizar la confidencialidad y la privacidad.

A quién va dirigido

Este artículo es para:

  • Equipos de seguridad que evalúan ISMS Copilot

  • Profesionales de cumplimiento que manejan datos confidenciales de clientes

  • Administradores responsables de las decisiones de protección de datos

  • Usuarios que necesitan entender cómo se protegen sus datos

Principios clave de seguridad

La arquitectura de seguridad de ISMS Copilot sigue estos principios básicos:

  • Cero entrenamiento con datos de usuario - Sus conversaciones, documentos e información de clientes nunca se utilizan para entrenar modelos de IA

  • Residencia de datos en la UE - Todos los datos se almacenan en servidores ubicados en la UE (Frankfurt, Alemania)

  • Cifrado de extremo a extremo - Los datos se cifran tanto en tránsito como en reposo

  • Retención controlada por el usuario - Usted decide cuánto tiempo se conservan sus datos

  • Cumplimiento del RGPD - Cumplimiento total con las regulaciones europeas de protección de datos

Cifrado de datos

Cifrado en tránsito

Todos los datos transmitidos entre su navegador y los servidores de ISMS Copilot están protegidos mediante:

  • Cifrado TLS 1.3 en todas las conexiones HTTPS

  • Seguridad de transporte estricta (HSTS) aplicada por 1 año con inclusión de subdominios

  • Anclaje de certificados (Certificate pinning) para prevenir ataques de intermediario (man-in-the-middle)

  • Actualización automática a HTTPS para todas las solicitudes inseguras

Cada conexión a ISMS Copilot utiliza cifrado de nivel bancario. Sus datos no pueden ser interceptados ni leídos durante la transmisión.

Cifrado en reposo

Todos los datos almacenados en las bases de datos de ISMS Copilot están protegidos con:

  • Cifrado AES-256 para todas las bases de datos de producción

  • Copias de seguridad cifradas con los mismos estándares de cifrado

  • Almacenamiento de archivos cifrado para documentos cargados (PDF, DOCX, XLS)

  • Gestión segura de claves con claves almacenadas de forma separada de los datos

Almacenamiento y residencia de datos

Dónde se almacenan sus datos

Todo el almacenamiento de la base de datos de ISMS Copilot ocurre en:

  • Ubicación: Servidores basados en la UE (región AWS Frankfurt, Alemania)

  • Proveedor: Supabase (construido sobre la infraestructura de AWS)

  • Cumplimiento: Centros de datos que cumplen con el RGPD con garantías de residencia de datos en la UE

Ubicación del procesamiento de IA (Configurable por el usuario):

Aunque el almacenamiento de su base de datos siempre está en la UE, la ubicación del procesamiento de IA depende de su configuración de Modo de protección de datos avanzada:

  • Protección de datos avanzada DESACTIVADA (Predeterminado): El procesamiento de IA ocurre en los Estados Unidos (xAI/OpenAI) con Cláusulas Contractuales Tipo y medidas suplementarias

  • Protección de datos avanzada ACTIVADA: El procesamiento de IA ocurre en la Unión Europea (Mistral AI), eliminando transferencias internacionales y requisitos de Evaluación de Impacto de la Transferencia

Las organizaciones con requisitos de residencia de datos en la UE pueden activar el Modo de protección de datos avanzada para evitar las Evaluaciones de Impacto de la Transferencia en el procesamiento de IA. Consulte nuestra Evaluación de impacto de la transferencia para más detalles.

Su base de datos de historial de conversaciones siempre permanece en la UE (Frankfurt). El Modo de protección de datos avanzada controla dónde ocurre el procesamiento de IA y cuánto tiempo retienen los datos los proveedores de IA (30 días frente a cero).

Qué datos se almacenan

ISMS Copilot almacena la siguiente información:

  • Información de la cuenta: Dirección de correo electrónico, credenciales de autenticación (contraseñas con hash)

  • Historial de conversaciones: Sus preguntas y las respuestas de la IA dentro de cada espacio de trabajo

  • Documentos cargados: Archivos que carga para análisis (PDF, DOCX, XLS)

  • Datos del espacio de trabajo: Nombres de espacios de trabajo, instrucciones personalizadas y organización de proyectos

  • Metadatos de uso: Marcas de tiempo, recuento de mensajes y uso de funciones para facturación y mejora del servicio

Autenticación y Control de Acceso

Métodos de autenticación admitidos

ISMS Copilot admite múltiples opciones de autenticación segura:

Correo electrónico y contraseña

  • Requisitos de contraseña segura (mínimo 8 caracteres con mayúsculas, minúsculas, números y caracteres especiales)

  • Contraseñas con hash mediante el algoritmo bcrypt estándar de la industria

  • Verificación de correo obligatoria: Debe hacer clic en el enlace de confirmación enviado por correo electrónico antes de poder iniciar sesión. Esto garantiza la propiedad de la cuenta y evita el acceso no autorizado

  • Restablecimiento de contraseña seguro mediante verificación por correo electrónico

Google OAuth

  • Inicio de sesión único utilizando su cuenta de Google

  • No se almacenan contraseñas en ISMS Copilot

  • Tokens de autenticación gestionados por Google

Microsoft/Azure OAuth

  • Inicio de sesión único utilizando su cuenta de Microsoft o Azure

  • Listo para empresas que utilizan Microsoft 365

  • Tokens de autenticación gestionados por Microsoft

Para una seguridad máxima, utilice proveedores de OAuth (Google o Microsoft) combinados con sus funciones integradas de autenticación multifactor. Esto añade una capa extra de protección a su cuenta de ISMS Copilot.

Gestión de sesiones

Las sesiones de usuario se gestionan mediante:

  • Tokens JWT con expiración automática

  • Almacenamiento de sesión seguro que no persiste tras el cierre del navegador

  • Cierre de sesión automático cuando los tokens expiran

  • Cierre de sesión manual disponible a través del menú de usuario

Seguridad a nivel de fila (RLS)

ISMS Copilot implementa controles de acceso a nivel de base de datos:

  • Los usuarios solo pueden acceder a sus propias conversaciones, espacios de trabajo y archivos cargados

  • Intentar acceder a los datos de otro usuario devuelve resultados vacíos (no mensajes de error)

  • Todas las consultas a la base de datos se filtran automáticamente por el ID de usuario autenticado

  • El acceso de administrador requiere autenticación y autorización independientes

Retención y eliminación de datos

Retención controlada por el usuario

Usted tiene el control total sobre cuánto tiempo se conservan sus datos:

  1. Haga clic en el icono del menú de usuario (esquina superior derecha)

  2. Seleccione Configuración

  3. En el campo Periodo de retención de datos, ingrese su periodo de retención preferido:

    • Mínimo: 1 día

    • Máximo: 7 años

    • O haga clic en Conservar para siempre para retener indefinidamente

  4. Haga clic en Guardar configuración

Resultado esperado: El cuadro de diálogo de configuración se cierra y se guarda su preferencia de retención.

Los datos anteriores a su periodo de retención se eliminan de forma automática y permanente. Este proceso se ejecuta diariamente y no se puede deshacer. Asegúrese de exportar cualquier dato que necesite antes de que expire.

Eliminación automática de datos

ISMS Copilot elimina automáticamente los datos caducados:

  • La tarea de eliminación se ejecuta diariamente para eliminar datos anteriores a su periodo de retención

  • Los datos eliminados incluyen el historial de conversaciones, los archivos cargados y el contenido del espacio de trabajo

  • La eliminación es permanente y no se puede recuperar

  • La información de la cuenta (correo electrónico, configuración) se conserva hasta la eliminación de la cuenta

Eliminación de la cuenta

Para eliminar su cuenta y todos los datos asociados:

  1. Póngase en contacto con el soporte de ISMS Copilot a través del Centro de ayuda

  2. Solicite la eliminación completa de la cuenta

  3. El equipo de soporte confirmará su identidad y procesará la eliminación

  4. Todos los datos se eliminan permanentemente en un plazo de 30 días

Privacidad y Cumplimiento

Cumplimiento del RGPD

ISMS Copilot cumple plenamente con el Reglamento General de Protección de Datos (RGPD):

  • Minimización de datos: Solo se recopilan los datos esenciales

  • Limitación de la finalidad: Los datos solo se utilizan para prestar el servicio

  • Limitación del almacenamiento: Periodos de retención controlados por el usuario

  • Derecho de acceso: Los usuarios pueden exportar sus datos

  • Derecho de supresión: Los usuarios pueden solicitar la eliminación completa de los datos

  • Derecho a la portabilidad: Los datos se pueden exportar en formatos estándar

  • Protección de datos desde el diseño: Seguridad integrada en cada función

Entrenamiento de IA y sus datos

ISMS Copilot garantiza:

  • Sin entrenamiento con datos de usuario: Sus conversaciones, documentos e información de clientes nunca se utilizan para entrenar modelos de IA

  • Procesamiento aislado: Cada conversación se procesa de forma independiente

  • Sin intercambio de datos entre clientes: Sus datos nunca son visibles para otros usuarios

  • Aislamiento de espacios de trabajo: Los diferentes espacios de trabajo mantienen límites de datos separados

A diferencia de las herramientas de IA generales como ChatGPT, ISMS Copilot nunca utiliza sus datos sensibles de cumplimiento para mejorar el modelo de IA. La información de sus clientes permanece completamente confidencial.

Opciones de procesamiento del proveedor de IA:

Puede elegir entre dos modos de procesamiento de IA a través del Modo de protección de datos avanzada:

  • Modo predeterminado (DESACTIVADO): Procesamiento en EE. UU. (xAI/OpenAI) con retención temporal de 30 días

  • Protección de datos avanzada (ACTIVADA): Procesamiento en la UE (Mistral AI) con cero retención

Independientemente del modo que elija, sus datos NUNCA se utilizan para el entrenamiento de IA.

Seguridad de la aplicación

Protección contra ataques comunes

ISMS Copilot implementa múltiples encabezados y políticas de seguridad:

Protección contra Clickjacking

  • X-Frame-Options: DENY evita la incrustación en iframes

  • La directiva frame-ancestors de la Política de Seguridad de Contenido bloquea el enmarcado

Política de Seguridad de Contenido (CSP)

  • Restringe la ejecución de scripts únicamente a fuentes aprobadas

  • Bloquea scripts en línea excepto donde se requiera explícitamente

  • Previene ataques object-src y base-uri

  • Actualiza automáticamente las solicitudes HTTP inseguras a HTTPS

Protección de tipos MIME

  • X-Content-Type-Options: nosniff evita ataques de confusión de tipos MIME

Política de Referer

  • strict-origin-when-cross-origin limita la fuga de información en solicitudes entre sitios

Política de permisos

ISMS Copilot desactiva funciones del navegador innecesarias para reducir la superficie de ataque:

  • Cámara: Desactivada

  • Micrófono: Desactivado

  • Geolocalización: Desactivada

  • Interest Cohort (rastreo FLoC): Bloqueado

Servicios de terceros

Servicios de procesamiento de IA

ISMS Copilot le da el control sobre qué proveedor de IA procesa sus conversaciones.

Proveedores de IA disponibles (Configurables por el usuario mediante el Modo de protección de datos avanzada):

  • xAI (Grok) y OpenAI:

    • Ubicación: Estados Unidos

    • Retención: 30 días (caché temporal)

    • Entrenamiento: Los datos de la API NO se utilizan para el entrenamiento de modelos

    • Activo cuando: La Protección de datos avanzada está DESACTIVADA (predeterminado)

  • Mistral AI:

    • Ubicación: Unión Europea

    • Retención: Zero (sin retención)

    • Entrenamiento: NO se utilizan para el entrenamiento de modelos

    • Activo cuando: La Protección de datos avanzada está ACTIVADA

Las organizaciones con requisitos de residencia de datos en la UE deben activar el Modo de protección de datos avanzada para garantizar un procesamiento 100% en la UE con cero retención del proveedor de IA. Esto proporciona las mayores garantías de privacidad disponibles.

Analítica y Monitoreo

ISMS Copilot utiliza los siguientes servicios de terceros:

PostHog (Analítica)

  • Propósito: Analítica de producto anónima y seguimiento del uso de funciones

  • Datos compartidos: Uso de funciones, vistas de página, IDs de usuario anonimizados

  • No se comparte: Contenido de conversaciones, documentos cargados, información personal

Sentry (Monitoreo de errores)

  • Propósito: Seguimiento de errores y monitoreo del rendimiento

  • Datos compartidos: Mensajes de error, trazas de pila (stack traces), información del navegador, IDs de usuario (solo UUID, en producción)

  • No se comparte: Contenido de conversaciones, documentos cargados, direcciones de correo electrónico, nombres

Procesamiento de pagos

Stripe

  • Propósito: Procesamiento de pagos seguro y gestión de suscripciones

  • Procesador de pagos con certificación PCI DSS Nivel 1

  • ISMS Copilot nunca almacena información de tarjetas de crédito

  • Todos los datos de pago son gestionados exclusivamente por Stripe

Los usuarios Premium pueden gestionar su suscripción y métodos de pago de forma segura a través del Portal de Clientes de Stripe haciendo clic en "Gestionar suscripción" en el menú de usuario.

Limitaciones y consideraciones

Lo que ISMS Copilot NO ofrece actualmente

  • Opciones de MFA adicionales: El inicio de sesión por correo electrónico incluye verificación obligatoria (una forma de MFA). Para una protección más fuerte, puede usar proveedores de OAuth (Google/Microsoft) con su propio MFA activado. El soporte para aplicaciones de autenticación/TOTP aún no está disponible.

  • Inicio de sesión único (SSO/SAML): La integración de SSO empresarial no está disponible actualmente

  • Llaves de seguridad por hardware: La autenticación FIDO2/WebAuthn no es compatible

  • Panel de gestión de sesiones: Los usuarios no pueden ver ni gestionar sesiones activas desde múltiples dispositivos

  • Listas blancas de IP: No se puede restringir el acceso a direcciones IP específicas

Restricciones de retención de datos

  • Periodo mínimo de retención: 1 día

  • Periodo máximo de retención: 7 años

  • Los usuarios gratuitos tienen los mismos controles de retención que los usuarios premium

Respuesta a incidentes de seguridad

Monitoreo de tiempo de actividad y detección

ISMS Copilot mantiene un monitoreo en tiempo real de los sistemas de producción para garantizar la disponibilidad y una rápida respuesta ante incidentes:

  • BetterStack Uptime Monitoring: Monitoreo continuo en tiempo real de chat.ismscopilot.com (aplicación principal) para problemas de disponibilidad

  • Alertas automatizadas: Notificaciones instantáneas de Slack al canal #incident cuando se detectan problemas de disponibilidad

  • Clasificación de incidentes: Evaluación del equipo para determinar si los problemas constituyen eventos o incidentes que requieren escalada

  • Escalada multicanal: Alertas progresivas por correo electrónico y SMS para incidentes críticos

  • Página de estado pública: Estado del servicio en tiempo real disponible en https://status.ismscopilot.com/

Puede consultar el estado actual de todos los servicios de ISMS Copilot en cualquier momento visitando nuestra página de estado pública. Esto proporciona transparencia sobre la disponibilidad del sistema y cualquier incidente en curso.

Monitoreo de seguridad adicional

Más allá del monitoreo de tiempo de actividad, ISMS Copilot emplea:

  • Seguimiento de errores y alertas automatizadas a través de Sentry

  • Registros de auditoría de la base de datos para patrones de acceso sospechosos

  • Revisiones de seguridad periódicas y evaluaciones de vulnerabilidad

Informar problemas de seguridad

Si descubre una vulnerabilidad de seguridad:

  1. Contacte con el soporte de ISMS Copilot inmediatamente a través del Centro de ayuda

  2. Proporcione información detallada sobre el problema (sin divulgarlo públicamente)

  3. No intente explotar la vulnerabilidad

  4. Permita que el equipo de seguridad tenga tiempo para investigar y resolver el problema

Mejores prácticas para usuarios

Seguridad de la cuenta

  • Use una contraseña fuerte y única (o proveedores de OAuth con MFA habilitado)

  • No comparta sus credenciales de acceso con otros

  • Cierre sesión después de usar ordenadores compartidos o públicos

  • Revise regularmente sus espacios de trabajo y conversaciones para detectar actividad no autorizada

Protección de datos

  • Establezca periodos de retención de datos adecuados para sus requisitos de cumplimiento

  • Anonimice la información confidencial de los clientes antes de cargarla cuando sea posible

  • Use espacios de trabajo separados para diferentes clientes para evitar la mezcla de datos

  • Exporte regularmente los datos importantes antes de que expiren según la configuración de retención

Cree un espacio de trabajo dedicado para cada cliente o proyecto de cumplimiento. Esto garantiza que los datos del cliente permanezcan aislados y facilita la gestión de las políticas de retención y los controles de acceso.

Certificaciones de cumplimiento

Estado actual

ISMS Copilot mantiene cumplimiento con:

  • RGPD (Reglamento General de Protección de Datos)

  • Principios de la CCPA (Ley de Privacidad del Consumidor de California)

  • Requisitos de residencia de datos de la UE

Certificaciones de los proveedores de infraestructura

Los proveedores de infraestructura de ISMS Copilot mantienen:

  • AWS: ISO 27001, SOC 2 Tipo II, PCI DSS

  • Supabase: SOC 2 Tipo II, cumplimiento del RGPD

  • Stripe: PCI DSS Nivel 1, SOC 2 Tipo II

Próximos pasos

Obtener ayuda

Si tiene preguntas sobre seguridad o privacidad:

  • Revise nuestra Colección de Seguridad para obtener documentación detallada sobre seguridad

  • Contacte con el soporte a través del menú del Centro de ayuda

  • Para vulnerabilidades de seguridad, informe inmediatamente a través de los canales de soporte

ISMS Copilot está comprometido con la transparencia sobre sus prácticas de seguridad. Nuestra Colección de Seguridad proporciona información detallada sobre el manejo de datos, medidas de seguridad y cumplimiento con las regulaciones de privacidad.

¿Te fue útil?