← Volver al inicio

Protección de Datos

Última actualización: Marzo 2026

En InfoPrivada, la seguridad de los datos de tu empresa no es una funcionalidad adicional: es el fundamento de nuestra plataforma. Este documento detalla las medidas técnicas y organizativas que implementamos para proteger tu información.

🔒

Procesamiento 100% automático — sin intervención humana

Cuando cargás archivos en InfoPrivada, son procesados exclusivamente por algoritmos de inteligencia artificial, de forma automática. El contenido de tus documentos se extrae, se fragmenta en porciones pequeñas y se convierte en representaciones matemáticas (vectores/embeddings) que solo la IA puede interpretar para responder consultas.

Ningún empleado, colaborador, desarrollador ni representante de InfoPrivada o XUBIT S.A.S. accede, lee, visualiza ni revisa el contenido de los archivos, documentos, bases de datos o cualquier tipo de información cargada por los clientes, salvo que el administrador de la empresa lo autorice expresamente por escrito para fines de soporte técnico.

Esta política es parte integral de nuestros términos de servicio y su incumplimiento por parte de cualquier miembro del equipo de InfoPrivada constituiría una violación contractual.

🤖

Solo IA procesa tus datos

Algoritmos automáticos, sin humanos

🏢

Aislamiento por empresa

Tus datos nunca se mezclan con otros

🗑️

Eliminación en cualquier momento

Archivos, chunks y vectores se borran

1. Medidas Técnicas de Seguridad

1.1 Encriptación

  • En reposo (AES-256): todos los archivos, documentos y datos almacenados se encriptan con el estándar AES-256, el mismo utilizado por instituciones financieras y gobiernos.
  • En tránsito (TLS 1.3): toda comunicación entre tu navegador y nuestros servidores se realiza a través de conexiones encriptadas con TLS 1.3.
  • Contraseñas (bcrypt): las contraseñas se almacenan con hash bcrypt con salt aleatorio. Ni siquiera nosotros podemos recuperar tu contraseña original.
  • Credenciales de BD externas: las credenciales de conexión a bases de datos externas se almacenan encriptadas y nunca se exponen en logs ni respuestas de API.

1.2 Aislamiento por empresa (Multi-Tenant)

  • Row Level Security (RLS): PostgreSQL implementa políticas de seguridad a nivel de fila. Cada consulta se filtra automáticamente por company_id, garantizando que una empresa nunca pueda acceder a datos de otra.
  • Vectores aislados: los embeddings (representaciones vectoriales de tus documentos) se almacenan en pgvector con filtro por empresa, garantizando que las búsquedas semánticas solo devuelvan resultados de tu organización.
  • Archivos separados: los documentos se almacenan en directorios separados por empresa {storage}/{company_id}/{source_id}/, con permisos de sistema de archivos independientes.
  • Sesiones aisladas: los tokens JWT contienen el company_id del usuario, asegurando que cada solicitud sea validada contra la empresa correcta.

1.3 Control de Acceso

  • Autenticación JWT: sesiones gestionadas con tokens firmados (HS256) con expiración configurable.
  • Jerarquía de roles: SuperAdmin - Admin Empresa - Áreas - Roles - Usuarios. Cada nivel tiene permisos específicos.
  • Acceso por área y rol: cada fuente de datos se asigna a áreas y roles específicos. Un usuario de “Ventas” no puede acceder a documentos de “RRHH” a menos que se le otorgue permiso explícito.
  • Rate limiting: protección contra ataques de fuerza bruta con límites por IP y por email, implementados con Redis.
  • Protección contra fuerza bruta: bloqueo temporal de la cuenta después de 5 intentos fallidos de inicio de sesión.

1.4 Seguridad de Bases de Datos Externas

  • Solo lectura: las conexiones a bases de datos externas de la empresa utilizan exclusivamente usuarios con permisos de solo lectura.
  • Validación de consultas: todas las consultas SQL se validan con sqlparse para garantizar que solo se ejecuten sentencias SELECT. Se bloquean INSERT, UPDATE, DELETE y cualquier operación de escritura.
  • Sin almacenamiento de credenciales en texto plano: las credenciales de conexión se encriptan antes de almacenarse.

1.5 Seguridad en el Procesamiento de IA

  • Datos mínimos: solo se envían a los proveedores de LLM los fragmentos estrictamente necesarios para responder cada consulta, no la totalidad de los documentos.
  • Sin entrenamiento: los datos enviados via API a OpenAI, Groq y Anthropic no se utilizan para entrenar sus modelos (conforme a las políticas de API de cada proveedor).
  • Procesamiento efímero: los proveedores de LLM procesan la consulta en tiempo real y no retienen los datos después de generar la respuesta.

2. Medidas Organizativas

2.1 Acceso Interno Restringido

  • Solo el personal técnico autorizado de InfoPrivada tiene acceso a la infraestructura de producción, bajo el principio de mínimo privilegio.
  • El acceso a bases de datos de producción requiere autenticación multi-factor y se registra en logs de auditoría.
  • El equipo de InfoPrivada no accede a los datos de las empresas salvo cuando es estrictamente necesario para soporte técnico y con consentimiento explícito del administrador de la empresa.

2.2 Políticas de Retención

  • Los datos empresariales se conservan mientras la suscripción esté activa.
  • Tras la cancelación, los datos se mantienen por 30 días (período de gracia) y luego se eliminan de forma permanente.
  • La empresa puede solicitar la eliminación inmediata de sus datos en cualquier momento.
  • Los backups se retienen por un máximo de 30 días y luego se eliminan automáticamente.
  • Los logs técnicos se eliminan automáticamente después de 90 días.

2.3 Registro de Auditoría

  • Todas las acciones relevantes se registran: inicio de sesión, carga de documentos, consultas realizadas, cambios de permisos, eliminación de datos.
  • Los administradores de empresa tienen acceso al log de auditoría de su organización desde el panel de control.
  • Los registros de auditoría se conservan por un mínimo de 12 meses.
  • Los registros son inmutables: no pueden ser modificados ni eliminados por los usuarios.

3. Respuesta a Incidentes de Seguridad

InfoPrivada cuenta con un proceso estructurado para la gestión de incidentes de seguridad:

1

Detección e Identificación

Monitoreo continuo con Sentry y alertas automáticas. Detección de accesos anómalos, intentos de intrusión y comportamiento inusual.

2

Contención

Aislamiento inmediato de los sistemas afectados. Revocación de tokens y credenciales comprometidas. Bloqueo de accesos sospechosos.

3

Notificación

Notificación a las empresas afectadas dentro de las 72 horas de confirmado el incidente, conforme a los estándares RGPD. La notificación incluye: naturaleza del incidente, datos potencialmente afectados, medidas tomadas y recomendaciones.

4

Investigación y Remediación

Análisis forense para determinar el alcance y la causa raíz. Implementación de parches y correcciones. Verificación de que la vulnerabilidad ha sido eliminada.

5

Post-Mortem y Mejora

Documentación completa del incidente. Revisión de procesos y actualización de medidas preventivas. Comunicación transparente a las empresas afectadas sobre las mejoras implementadas.

4. Responsabilidad Compartida

La seguridad de los datos es una responsabilidad compartida. InfoPrivada se encarga de la seguridad de la plataforma y la infraestructura. La Empresa es responsable de:

  • Gestionar correctamente los permisos de áreas y roles dentro de su organización.
  • Asegurar que sus usuarios utilicen contraseñas seguras y no compartan credenciales.
  • Verificar que los datos cargados no infrinjan derechos de terceros.
  • Notificar a InfoPrivada ante cualquier sospecha de acceso no autorizado.
  • Mantener actualizados los datos de contacto del administrador para recibir notificaciones de seguridad.

5. Contacto de Seguridad

Si descubrís una vulnerabilidad de seguridad o tenés alguna preocupación sobre la protección de datos, contactanos de inmediato:

  • Seguridad: seguridad@infoprivada.com
  • Privacidad: privacidad@infoprivada.com
  • General: contacto@infoprivada.com

Valoramos la divulgación responsable de vulnerabilidades y nos comprometemos a investigar y resolver cualquier problema reportado de forma prioritaria.