Descripción general de seguridad y protección de datos
Descripción general
ISMS Copilot implementa medidas de seguridad de nivel empresarial para proteger sus datos confidenciales de cumplimiento. Este artículo explica cómo se protegen sus datos, dónde se almacenan y qué controles existen para garantizar la confidencialidad y la privacidad.
A quién va dirigido
Este artículo es para:
Equipos de seguridad que evalúan ISMS Copilot
Profesionales de cumplimiento que manejan datos sensibles de clientes
Administradores responsables de las decisiones de protección de datos
Usuarios que necesitan entender cómo se protegen sus datos
Principios clave de seguridad
La arquitectura de seguridad de ISMS Copilot sigue estos principios básicos:
Cero entrenamiento con datos de usuario - Sus conversaciones, documentos e información de clientes nunca se utilizan para entrenar modelos de IA
Residencia de datos en la UE - Todos los datos se almacenan en servidores basados en la UE (Frankfurt, Alemania)
Cifrado de extremo a extremo - Los datos se cifran tanto en tránsito como en reposo
Retención controlada por el usuario - Usted decide cuánto tiempo se conservan sus datos
Cumplimiento del RGPD - Pleno cumplimiento de las normativas europeas de protección de datos
Cifrado de datos
Cifrado en tránsito
Todos los datos transmitidos entre su navegador y los servidores de ISMS Copilot se protegen mediante:
Cifrado TLS 1.3 en todas las conexiones HTTPS
Seguridad de transporte estricta (HSTS) aplicada durante 1 año con inclusión de subdominios
Anclaje de certificados (Certificate pinning) para evitar ataques de intermediario (man-in-the-middle)
Actualización automática a HTTPS para todas las solicitudes inseguras
Cada conexión a ISMS Copilot utiliza cifrado de nivel bancario. Sus datos no pueden ser interceptados ni leídos durante la transmisión.
Cifrado en reposo
Todos los datos almacenados en las bases de datos de ISMS Copilot están protegidos con:
Cifrado AES-256 para todas las bases de datos de producción
Copias de seguridad cifradas con los mismos estándares de cifrado
Almacenamiento de archivos cifrado para documentos subidos (PDF, DOCX, XLS)
Gestión segura de claves con claves almacenadas por separado de los datos
Almacenamiento y residencia de datos
Dónde se almacenan sus datos
Todo el almacenamiento de la base de datos de ISMS Copilot ocurre en:
Ubicación: Servidores basados en la UE (región de AWS Frankfurt, Alemania)
Proveedor: Supabase (construido sobre la infraestructura de AWS)
Cumplimiento: Centros de datos que cumplen con el RGPD con garantías de residencia de datos en la UE
Ubicación del procesamiento de IA (Configurable por el usuario):
Aunque el almacenamiento de su base de datos siempre está en la UE, la ubicación del procesamiento de IA depende de su configuración del Modo de protección de datos avanzada:
Modo de protección de datos avanzada DESACTIVADO (Predeterminado): El procesamiento de IA ocurre en los Estados Unidos (xAI, OpenAI, Anthropic) con Cláusulas Contractuales Estándar y medidas complementarias
Modo de protección de datos avanzada ACTIVADO: El procesamiento de IA ocurre en la Unión Europea (Mistral AI), eliminando las transferencias internacionales y los requisitos de Evaluación de Impacto de la Transferencia
Las organizaciones con requisitos de residencia de datos en la UE pueden activar el Modo de protección de datos avanzada para evitar las Evaluaciones de Impacto de la Transferencia en el procesamiento de IA. Consulte nuestra Evaluación de impacto de la transferencia para obtener más detalles.
Su base de datos de historial de conversaciones siempre permanece en la UE (Frankfurt). El Modo de protección de datos avanzada controla dónde ocurre el procesamiento de IA y cuánto tiempo retienen los datos los proveedores de IA (30 días frente a cero).
Qué datos se almacenan
ISMS Copilot almacena la siguiente información:
Información de la cuenta: Dirección de correo electrónico, credenciales de autenticación (contraseñas con hash)
Historial de conversaciones: Sus preguntas y respuestas de la IA dentro de cada espacio de trabajo
Documentos subidos: Archivos que sube para su análisis (PDF, DOCX, XLS)
Datos del espacio de trabajo: Nombres de espacios de trabajo, instrucciones personalizadas y organización de proyectos
Metadatos de uso: Marcas de tiempo, recuento de mensajes y uso de funciones para facturación y mejora del servicio
Autenticación y control de acceso
Métodos de autenticación admitidos
ISMS Copilot admite múltiples opciones de autenticación segura:
Correo electrónico y contraseña
Requisitos de contraseña segura (mínimo 8 caracteres con mayúsculas, minúsculas, números y caracteres especiales)
Contraseñas cifradas mediante el algoritmo bcrypt estándar de la industria
Verificación de correo obligatoria: Debe hacer clic en el enlace de confirmación enviado por correo electrónico antes de poder iniciar sesión. Esto garantiza la propiedad de la cuenta y evita el acceso no autorizado
Restablecimiento de contraseña seguro mediante verificación por correo electrónico
Google OAuth
Inicio de sesión único utilizando su cuenta de Google
No se almacena ninguna contraseña en ISMS Copilot
Tokens de autenticación gestionados por Google
Microsoft/Azure OAuth
Inicio de sesión único utilizando su cuenta de Microsoft o Azure
Listo para empresas que utilizan Microsoft 365
Tokens de autenticación gestionados por Microsoft
Para una seguridad máxima, utilice proveedores de OAuth (Google o Microsoft) combinados con sus funciones integradas de autenticación de múltiples factores. Esto añade una capa extra de protección a su cuenta de ISMS Copilot.
Gestión de sesiones
Las sesiones de usuario se gestionan mediante:
Tokens JWT con expiración automática
Almacenamiento de sesión seguro que no persiste tras el cierre del navegador
Cierre de sesión automático cuando los tokens expiran
Cierre de sesión manual disponible a través del menú de usuario
Seguridad a nivel de fila (RLS)
ISMS Copilot implementa controles de acceso a nivel de base de datos:
Los usuarios solo pueden acceder a sus propias conversaciones, espacios de trabajo y archivos subidos
El intento de acceder a los datos de otro usuario devuelve resultados vacíos (no mensajes de error)
Todas las consultas a la base de datos se filtran automáticamente por el ID de usuario autenticado
El acceso de administrador requiere autenticación y autorización por separado
Retención y eliminación de datos
Retención controlada por el usuario
Usted tiene el control total sobre cuánto tiempo se conservan sus datos:
Haga clic en el icono del menú de usuario (esquina superior derecha)
Seleccione Configuración
En el campo Período de retención de datos, introduzca su período de retención preferido:
Mínimo: 1 día
Máximo: 7 años
O haga clic en Mantener para siempre para conservarlos indefinidamente
Haga clic en Guardar configuración
Resultado esperado: El cuadro de diálogo de configuración se cierra y se guarda su preferencia de retención.
Los datos más antiguos que su período de retención se eliminan de forma automática y permanente. Este proceso se ejecuta diariamente y no se puede deshacer. Asegúrese de exportar cualquier dato que necesite antes de que expire.
Eliminación automática de datos
ISMS Copilot elimina automáticamente los datos caducados:
La tarea de eliminación se ejecuta diariamente para eliminar datos más antiguos que su período de retención
Los datos eliminados incluyen el historial de conversaciones, los archivos subidos y el contenido del espacio de trabajo
La eliminación es permanente y no se puede recuperar
La información de la cuenta (correo electrónico, configuración) se conserva hasta la eliminación de la cuenta
Eliminación de la cuenta
Para eliminar su cuenta y todos los datos asociados:
Contacte con el soporte de ISMS Copilot a través del Centro de Ayuda
Solicite la eliminación completa de la cuenta
El soporte confirmará su identidad y procesará la eliminación
Todos los datos se eliminan permanentemente en un plazo de 30 días
Privacidad y cumplimiento
Cumplimiento del RGPD
ISMS Copilot cumple plenamente con el Reglamento General de Protección de Datos (RGPD):
Minimización de datos: Solo se recogen los datos esenciales
Limitación de la finalidad: Los datos solo se utilizan para prestar el servicio
Limitación del almacenamiento: Períodos de retención controlados por el usuario
Derecho de acceso: Los usuarios pueden exportar sus datos
Derecho de supresión: Los usuarios pueden solicitar la eliminación completa de sus datos
Derecho a la portabilidad: Los datos pueden exportarse en formatos estándar
Protección de datos desde el diseño: Seguridad integrada en cada función
Entrenamiento de IA y sus datos
ISMS Copilot garantiza:
Sin entrenamiento con datos de usuario: Sus conversaciones, documentos e información de clientes nunca se utilizan para entrenar modelos de IA
Procesamiento aislado: Cada conversación se procesa de forma independiente
Sin intercambio de datos entre clientes: Sus datos nunca son visibles para otros usuarios
Aislamiento de espacios de trabajo: Los diferentes espacios de trabajo mantienen límites de datos separados
A diferencia de las herramientas de IA generalistas como ChatGPT, ISMS Copilot nunca utiliza sus datos confidenciales de cumplimiento para mejorar el modelo de IA. La información de sus clientes permanece completamente confidencial.
Opciones de procesamiento del proveedor de IA:
Puede elegir entre dos modos de procesamiento de IA a través del Modo de protección de datos avanzada:
Modo predeterminado (DESACTIVADO): Procesamiento basado en EE. UU. (xAI, OpenAI, Anthropic) con retención temporal de 30 días
Protección de datos avanzada (ACTIVADO): Procesamiento basado en la UE (Mistral AI) con retención cero
Independientemente del modo que elija, sus datos NUNCA se utilizan para el entrenamiento de IA.
Seguridad de la aplicación
Protección contra ataques comunes
ISMS Copilot implementa múltiples cabeceras y políticas de seguridad:
Protección contra Clickjacking
X-Frame-Options: DENY evita la incrustación en iframes
La directiva frame-ancestors de la Política de seguridad de contenido bloquea el enmarcado
Política de Seguridad de Contenido (CSP)
Restringe la ejecución de scripts solo a fuentes aprobadas
Bloquea scripts en línea excepto donde se requiera explícitamente
Previene ataques object-src y base-uri
Actualiza automáticamente las solicitudes HTTP inseguras a HTTPS
Protección de tipo MIME
X-Content-Type-Options: nosniff evita ataques de confusión de tipo MIME
Política de Referente
strict-origin-when-cross-origin limita la fuga de información en solicitudes entre sitios
Política de permisos
ISMS Copilot desactiva funciones del navegador innecesarias para reducir la superficie de ataque:
Cámara: Desactivada
Micrófono: Desactivado
Geolocalización: Desactivada
Cohorte de interés (seguimiento FLoC): Bloqueado
Servicios de terceros
Servicios de procesamiento de IA
ISMS Copilot le da el control sobre qué proveedor de IA procesa sus conversaciones.
Proveedores de IA disponibles (Configurables por el usuario mediante el Modo de protección de datos avanzada):
xAI (Grok), OpenAI y Anthropic (Claude):
Ubicación: Estados Unidos
Retención: 30 días (caché temporal)
Entrenamiento: Los datos de la API NO se utilizan para el entrenamiento del modelo
Activo cuando: La protección de datos avanzada está DESACTIVADA (predeterminado)
Mistral AI:
Ubicación: Unión Europea
Retención: Cero (sin retención)
Entrenamiento: NO se utilizan para el entrenamiento del modelo
Activo cuando: La protección de datos avanzada está ACTIVADA
Las organizaciones con requisitos de residencia de datos en la UE deben activar el Modo de protección de datos avanzada para garantizar un procesamiento 100% en la UE con retención cero por parte del proveedor de IA. Esto proporciona las mayores garantías de privacidad disponibles.
Analítica y monitorización
ISMS Copilot utiliza los siguientes servicios de terceros:
PostHog (Analítica)
Propósito: Analítica de producto anónima y seguimiento del uso de funciones
Datos compartidos: Uso de funciones, visitas a páginas, IDs de usuario anonimizados
No se comparte: Contenido de conversaciones, documentos subidos, información personal
Sentry (Monitorización de errores)
Propósito: Seguimiento de errores y monitorización del rendimiento
Datos compartidos: Mensajes de error, trazas de pila, información del navegador, IDs de usuario (solo UUID, en producción)
No se comparte: Contenido de conversaciones, documentos subidos, direcciones de correo electrónico, nombres
Procesamiento de pagos
Stripe
Propósito: Procesamiento seguro de pagos y gestión de suscripciones
Procesador de pagos certificado PCI DSS Nivel 1
ISMS Copilot nunca almacena información de tarjetas de crédito
Todos los datos de pago son gestionados exclusivamente por Stripe
Los usuarios Premium pueden gestionar su suscripción y métodos de pago de forma segura a través del Portal de Clientes de Stripe haciendo clic en "Gestionar suscripción" en el menú de usuario.
Limitaciones y consideraciones
Lo que ISMS Copilot NO ofrece actualmente
Opciones de MFA adicionales: El inicio de sesión basado en correo electrónico incluye la verificación obligatoria por correo (una forma de MFA). Para una mayor protección, puede usar proveedores de OAuth (Google/Microsoft) con su propio MFA activado. El soporte para TOTP/aplicaciones de autenticación aún no está disponible.
Inicio de sesión único (SSO/SAML): La integración de SSO empresarial no está disponible actualmente
Claves de seguridad de hardware: No se admite la autenticación FIDO2/WebAuthn
Panel de gestión de sesiones: Los usuarios no pueden ver ni gestionar sesiones activas desde múltiples dispositivos
Lista blanca de IP: El acceso no puede restringirse a direcciones IP específicas
Restricciones de retención de datos
Período de retención mínimo: 1 día
Período de retención máximo: 7 años
Los usuarios gratuitos tienen los mismos controles de retención que los usuarios premium
Respuesta a incidentes de seguridad
Monitorización del tiempo de actividad y detección
ISMS Copilot mantiene una monitorización en tiempo real de los sistemas de producción para garantizar la disponibilidad y una rápida respuesta ante incidentes:
Monitorización de tiempo de actividad de BetterStack: Monitorización continua en tiempo real de chat.ismscopilot.com (aplicación principal) para detectar problemas de disponibilidad
Alertas automatizadas: Notificaciones instantáneas de Slack al canal #incident cuando se detectan problemas de disponibilidad
Clasificación de incidentes: Evaluación del equipo para determinar si los problemas constituyen eventos o incidentes que requieren escalada
Escalada multicanal: Alertas progresivas por correo electrónico y SMS para incidentes críticos
Página de estado pública: Estado del servicio en tiempo real disponible en https://status.ismscopilot.com/
Puede consultar el estado actual de todos los servicios de ISMS Copilot en cualquier momento visitando nuestra página de estado pública. Esto proporciona transparencia sobre la disponibilidad del sistema y cualquier incidente en curso.
Monitorización de seguridad adicional
Más allá de la monitorización del tiempo de actividad, ISMS Copilot emplea:
Seguimiento de errores y alertas automatizadas a través de Sentry
Registros de auditoría de base de datos para detectar patrones de acceso sospechosos
Revisiones de seguridad regulares y evaluaciones de vulnerabilidad
Reporte de problemas de seguridad
Si descubre una vulnerabilidad de seguridad:
Contacte con el soporte de ISMS Copilot inmediatamente a través del Centro de Ayuda
Proporcione información detallada sobre el problema (sin divulgarlo públicamente)
No intente explotar la vulnerabilidad
Permita que el equipo de seguridad tenga tiempo para investigar y resolver el problema
Mejores prácticas para los usuarios
Seguridad de la cuenta
Use una contraseña fuerte y única (o proveedores de OAuth con MFA activado)
No comparta sus credenciales de acceso con otros
Cierre la sesión después de usar ordenadores compartidos o públicos
Revise regularmente sus espacios de trabajo y conversaciones para detectar actividad no autorizada
Protección de datos
Establezca períodos de retención de datos adecuados para sus requisitos de cumplimiento
Anonimice la información confidencial de los clientes antes de subirla cuando sea posible
Utilice espacios de trabajo separados para diferentes clientes para evitar la mezcla de datos
Exporte regularmente los datos importantes antes de que expiren según la configuración de retención
Cree un espacio de trabajo dedicado para cada cliente o proyecto de cumplimiento. Esto garantiza que los datos de los clientes permanezcan aislados y facilita la gestión de las políticas de retención y los controles de acceso.
Certificaciones de cumplimiento
Estado actual
ISMS Copilot mantiene el cumplimiento con:
RGPD (Reglamento General de Protección de Datos)
Principios de la CCPA (Ley de Privacidad del Consumidor de California)
Requisitos de residencia de datos de la UE
Certificaciones del proveedor de infraestructura
Los proveedores de infraestructura de ISMS Copilot mantienen:
AWS: ISO 27001, SOC 2 Tipo II, PCI DSS
Supabase: SOC 2 Tipo II, cumplimiento del RGPD
Stripe: PCI DSS Nivel 1, SOC 2 Tipo II
Qué sigue
Configure espacios de trabajo para aislar los datos de los clientes
Visite nuestra Colección de Seguridad para obtener documentación de seguridad detallada
Consulte la Página de Estado para ver el tiempo de actividad del sistema e informes de incidentes en tiempo real
Obtener ayuda
Si tiene preguntas sobre seguridad o privacidad:
Revise nuestra Colección de Seguridad para obtener documentación de seguridad detallada
Contacte con soporte a través del menú del Centro de Ayuda
Para vulnerabilidades de seguridad, informe inmediatamente a través de los canales de soporte
ISMS Copilot está comprometido con la transparencia sobre las prácticas de seguridad. Nuestra Colección de Seguridad proporciona información detallada sobre el manejo de datos, las medidas de seguridad y el cumplimiento de las normativas de privacidad.