Revisión de seguridad para software de compras
Seguridad y confianza
Software de entrenamiento de negociación con proveedores alojado en la UE, con aislamiento entre organizaciones, subencargados publicados, controles listos para acuerdo de tratamiento de datos y una ruta clara de revisión de seguridad para compras.
Cómo Voice2Evolve protege los datos de sesión, el contexto de la organización y la revisión previa al despliegue.
Datos de aplicación alojados en la UE (Supabase Estocolmo)
Subencargados publicados y documentación legal lista para el acuerdo de tratamiento de datos
Aislamiento entre organizaciones aplicado en middleware, credenciales de autenticación y políticas de base de datos
Audio de sesión cifrado en tránsito mediante DTLS-SRTP
Paquete de seguridad y respuestas a cuestionarios disponibles bajo solicitud
Tokens de vida corta, límites de velocidad y control de acceso por roles
Voice2Evolve maneja datos sensibles: audio de voz en directo durante las sesiones, transcripciones de conversaciones y contexto organizativo. Tratamos esa responsabilidad como una restricción de diseño, no como algo secundario.
Esta página describe los controles que tenemos implementados. Para acuerdos formales y medidas técnicas detalladas, los documentos correspondientes están enlazados al final.
Residencia de datos y cifrado
Los datos de tu aplicación se almacenan en la UE (Supabase, región de Estocolmo). Todos los datos están cifrados en reposo (AES-256) y en tránsito (TLS 1.2+). El audio de las sesiones de voz está cifrado de extremo a extremo mediante DTLS-SRTP entre tu navegador y el proveedor de IA.
El cifrado a nivel de aplicación (AES-256-GCM) protege campos sensibles como documentos subidos, claves API y perfiles de candidatos. Las claves de cifrado se gestionan mediante un sistema de vault por capas, con opciones de configuración por organización.
Aislamiento entre organizaciones
Voice2Evolve está diseñado para múltiples organizaciones. Cada consulta, cada llamada a la API y cada operación de almacenamiento queda limitada a tu organización. El aislamiento se aplica en la base de datos mediante políticas de seguridad por filas (RLS), no solo mediante lógica de aplicación.
El contexto de la organización se valida de forma independiente en tres capas: middleware, tokens de autenticación y políticas de base de datos. Las tres deben coincidir antes de devolver datos. No existe superficie de datos compartida entre organizaciones.
Tratamiento de datos de IA y voz
El audio de las sesiones de voz se procesa en tiempo real y no es retenido por nuestros proveedores de IA tras el procesamiento. Utilizamos endpoints de API donde los datos de sesión no se usan para el entrenamiento de modelos.
Las transcripciones de las sesiones se almacenan en la base de datos de tu organización, limitadas a tu organización y sujetas a tu política de conservación configurada. Cuando una sesión caduca, las transcripciones y el análisis se eliminan automáticamente.
Utilizamos endpoints de API en los que las entradas y salidas no se usan para el entrenamiento de modelos de IA. Los detalles sobre proveedores, categorías de datos y retención están documentados en la lista de subencargados y en los materiales de revisión.
Para nuestros compromisos éticos sobre el uso del análisis de IA y lo que la plataforma nunca decidirá, consulta nuestra página de IA responsable.
Autenticación y control de acceso
La autenticación de usuarios se gestiona mediante cookies seguras HttpOnly con protección SameSite. El control de acceso basado en roles separa los permisos de usuario, editor, administrador de organización y superadministrador. Todas las rutas de administración requieren verificación explícita del rol.
Los endpoints de la API tienen límites de velocidad por ruta. El acceso anónimo está protegido mediante verificación CAPTCHA. Todos los tokens de autenticación son de corta duración y están firmados criptográficamente.
Seguridad de la aplicación
La seguridad está integrada en el proceso de desarrollo, no añadida después. Los controles incluyen:
- Validación de entrada en cada endpoint de la API (esquemas Zod)
- Política de seguridad de contenido con nonce por solicitud
- Registro estructurado con redacción automática de datos personales
- Escaneo automatizado de dependencias y alertas de vulnerabilidades
- Revisión de código con herramientas de seguridad automatizadas y verificación manual
- Registros de auditoría inmutables para operaciones administrativas y financieras
Cumplimiento y marcos normativos
Voice2Evolve construye su Sistema de Gestión de Seguridad de la Información siguiendo los principios de ISO 27001 y SOC 2. Las certificaciones formales aún no están implantadas. Todos los proveedores se evalúan frente a requisitos de seguridad y protección de datos antes de su uso, y han firmado Acuerdos de Tratamiento de Datos.
La plataforma cumple con el RGPD: se admiten solicitudes de acceso, portabilidad y eliminación de datos. Una Evaluación de Impacto sobre la Protección de Datos cubre el procesamiento de sesiones de voz. Los requisitos alemanes GoBD para contabilidad digital se cumplen mediante la integración con Lexware.
Gestión de proveedores
Cada servicio de terceros se evalúa por su postura de seguridad, sus prácticas de tratamiento de datos y sus certificaciones de cumplimiento antes de su adopción. Todos los proveedores críticos poseen certificación SOC 2 Type II. Firmamos Acuerdos de Tratamiento de Datos con cada proveedor que procesa datos personales.
Publicamos y mantenemos actualizada una lista completa de subencargados. Los cambios en los subencargados se comunican con 30 días de antelación según nuestro Acuerdo de Tratamiento de Datos.
Respuesta a incidentes
Una política documentada de respuesta a incidentes cubre la detección, contención, erradicación y recuperación. Los incidentes críticos se abordan con rapidez, normalmente en pocas horas. Las violaciones de datos se notifican a la autoridad de control competente en un plazo de 72 horas según lo exigido por el artículo 33 del RGPD.
Todos los incidentes se documentan con análisis de causa raíz y seguimiento de las medidas correctivas. Las revisiones posteriores a incidentes se incorporan a los controles de seguridad y la monitorización.
Documentación
Para adquisiciones, revisiones de cumplimiento o preguntas técnicas detalladas, los siguientes documentos están disponibles:
Qué entregamos durante la revisión de proveedor
Los equipos de compras, TI, seguridad y privacidad suelen necesitar el mismo conjunto de pruebas antes del despliegue. Lo entregamos directamente.
- Acuerdo de tratamiento de datos y lista de subencargados
- Política de privacidad y postura sobre IA responsable
- Documento técnico de seguridad y respuestas a cuestionarios bajo solicitud
- Explicación clara de conservación, alojamiento, control de acceso y aislamiento entre organizaciones
¿Necesitas el paquete de revisión para compras, TI o cumplimiento?
Proporcionamos el documento técnico de seguridad, respuestas a cuestionarios de compras y respuestas directas para revisiones de comprador, privacidad y seguridad.