Seguridad y confianza
Cómo Voice2Evolve protege sus datos, sus sesiones y su organización.
Voice2Evolve maneja datos sensibles: grabaciones de voz, transcripciones de conversaciones y contexto organizativo. Tratamos esa responsabilidad como una restricción de diseño, no como algo secundario.
Esta página describe los controles que tenemos implementados. Para acuerdos formales y medidas técnicas detalladas, los documentos correspondientes están enlazados al final.
Residencia de datos y cifrado
Los datos de su aplicación se almacenan en la UE (Supabase, región de Estocolmo). Todos los datos están cifrados en reposo (AES-256) y en tránsito (TLS 1.2+). El audio de las sesiones de voz está cifrado de extremo a extremo mediante DTLS-SRTP entre su navegador y el proveedor de IA.
El cifrado a nivel de aplicación (AES-256-GCM) protege campos sensibles como documentos subidos, claves API y perfiles de candidatos. Las claves de cifrado se gestionan mediante un sistema de bóveda escalonado con opciones de configuración a nivel de inquilino.
Aislamiento de inquilinos
Voice2Evolve es multi-inquilino. Cada consulta, cada llamada API y cada operación de almacenamiento está limitada a su organización. El aislamiento se aplica a nivel de base de datos mediante políticas de seguridad por filas (RLS), no solo mediante lógica de aplicación.
El contexto del inquilino se valida de forma independiente en tres capas: middleware, tokens de autenticación y políticas de base de datos. Las tres deben coincidir antes de devolver datos. No existe superficie de datos compartida entre organizaciones.
Autenticación y control de acceso
La autenticación de usuarios se gestiona mediante cookies seguras HttpOnly con protección SameSite. El control de acceso basado en roles separa los permisos de usuario, editor, administrador de inquilino y superadministrador. Todas las rutas de administración requieren verificación explícita del rol.
Los endpoints de la API tienen límites de velocidad por ruta. El acceso anónimo está protegido mediante verificación CAPTCHA. Todos los tokens de autenticación son de corta duración y están firmados criptográficamente.
Tratamiento de datos de IA y voz
El audio de las sesiones de voz se procesa en tiempo real y no es retenido por nuestros proveedores de IA tras el procesamiento. Utilizamos endpoints de API donde los datos de sesión no se usan para el entrenamiento de modelos.
Las transcripciones de las sesiones se almacenan en la base de datos de su organización, limitadas a su inquilino y sujetas a su política de retención configurada. Cuando una sesión caduca, las transcripciones y el análisis se eliminan automáticamente.
Para nuestros compromisos éticos sobre el uso del análisis de IA y lo que la plataforma nunca decidirá, consulta nuestra página de IA responsable.
Seguridad de la aplicación
La seguridad está integrada en el proceso de desarrollo, no añadida después. Los controles incluyen:
- Validación de entrada en cada endpoint de la API (esquemas Zod)
- Política de seguridad de contenido con nonce por solicitud
- Registro estructurado con redacción automática de datos personales
- Escaneo automatizado de dependencias y alertas de vulnerabilidades
- Revisión de código y análisis de dependencias con herramientas de seguridad automatizadas y verificación manual
- Registros de auditoría inmutables para operaciones administrativas y financieras
Cumplimiento y marcos normativos
Voice2Evolve construye su Sistema de Gestión de Seguridad de la Información siguiendo los principios de ISO 27001 y SOC 2. Las certificaciones formales no se han completado actualmente. Todos los proveedores son evaluados frente a requisitos de seguridad y protección de datos antes de su uso, y han firmado Acuerdos de Procesamiento de Datos.
La plataforma cumple con el RGPD: se admiten solicitudes de acceso, portabilidad y eliminación de datos. Una Evaluación de Impacto sobre la Protección de Datos cubre el procesamiento de sesiones de voz. Los requisitos alemanes GoBD para contabilidad digital se cumplen mediante la integración con Lexware.
Gestión de proveedores
Cada servicio de terceros se evalúa en cuanto a postura de seguridad, prácticas de manejo de datos y certificaciones de cumplimiento antes de su adopción. Todos los proveedores críticos poseen certificación SOC 2 Tipo II. Se firman Acuerdos de Procesamiento de Datos con cada proveedor que procesa datos personales.
Se publica y mantiene una lista completa de subprocesadores. Los cambios en los subprocesadores se comunican con 30 días de antelación según nuestro Acuerdo de Procesamiento de Datos.
Respuesta a incidentes
Una política documentada de respuesta a incidentes cubre la detección, contención, erradicación y recuperación. Los incidentes críticos tienen como objetivo una respuesta rápida, normalmente en pocas horas. Las violaciones de datos se notifican a la autoridad de control competente en un plazo de 72 horas según lo exigido por el artículo 33 del RGPD.
Todos los incidentes se documentan con análisis de causa raíz y seguimiento de las medidas correctivas. Las revisiones posteriores a incidentes se incorporan a los controles de seguridad y la monitorización.
Documentación
Para adquisiciones, revisiones de cumplimiento o preguntas técnicas detalladas, los siguientes documentos están disponibles:
¿Necesita más detalles para una revisión de cumplimiento?
Proporcionamos un documento técnico de seguridad y cuestionarios de seguridad pre-rellenados a solicitud. Si necesita información específica para una adquisición, una revisión de seguridad interna o una evaluación de proveedores, contáctenos directamente.