En Relevante.IA, la seguridad de los datos de nuestros clientes es una prioridad fundamental. Esta página describe las medidas técnicas y organizativas que implementamos para proteger tu información.
1. Arquitectura de Seguridad
1.1 Infraestructura
| Componente | Detalle |
|---|---|
| Alojamiento frontend | Vercel (CDN global, edge network, certificados SSL automáticos) |
| Alojamiento backend | Railway (contenedores aislados, infraestructura gestionada) |
| Base de datos | Supabase (PostgreSQL gestionado con backups automáticos, cifrado at-rest) |
| Cola de trabajos | Redis sobre Railway (conexión cifrada, sin persistencia de datos sensibles) |
| Procesamiento de pagos | Stripe (certificado PCI-DSS Level 1) |
1.2 Cifrado
- Cifrado en tránsito: todas las comunicaciones utilizan HTTPS/TLS 1.2+ de extremo a extremo.
- Cifrado de contraseñas: almacenadas con hash bcrypt mediante Supabase Auth. Nunca se almacenan en texto plano.
- Cifrado de credenciales de integración: las contraseñas de WordPress y tokens OAuth de Google Search Console se cifran con AES-256-GCM antes de almacenarse en base de datos.
- Cifrado at-rest: la base de datos Supabase cifra los datos almacenados mediante cifrado de disco.
1.3 Autenticación y control de acceso
- Autenticación basada en JWT (JSON Web Tokens) con verificación en cada petición al servidor.
- Soporte para Google OAuth 2.0 como método de login alternativo.
- Row Level Security (RLS) en todas las tablas de la base de datos: cada usuario solo puede acceder a sus propios datos.
- Control de acceso basado en roles: separación estricta entre usuarios estándar y administradores.
- Token interno dedicado para comunicación servidor-worker (aislamiento de procesos internos).
2. Protección de la Aplicación
2.1 Seguridad del servidor
- Cabeceras de seguridad HTTP (Helmet): Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security, Referrer-Policy.
- Protección CORS: whitelist estricta de orígenes autorizados (ALLOWED_ORIGINS).
- Rate limiting: 100 peticiones por minuto por usuario para prevenir abusos.
- Rate limiting específico: 1 auditoría gratuita por IP al día.
- Validación de entrada en todos los endpoints de la API.
- Protección contra inyección SQL mediante consultas parametrizadas (Supabase client).
2.2 Seguridad del frontend
- No se almacenan secretos ni API keys en el código frontend.
- Variables de entorno separadas para frontend (solo claves públicas) y backend (claves privadas).
- Sanitización de entradas de usuario antes de renderizado.
2.3 Seguridad en integraciones
- WordPress: las credenciales (Application Passwords) se cifran con AES-256-GCM y se transmiten por HTTPS. Se eliminan inmediatamente al desconectar.
- Google Search Console: autenticación OAuth 2.0 estándar. Los refresh tokens se cifran con AES-256-GCM. Revocables en cualquier momento.
- Bing Webmaster Tools: API key proporcionada por el usuario, cifrada con AES-256-GCM. Sin OAuth; conexión directa. Eliminable en cualquier momento.
- Shopify (pendiente aprobación): OAuth 2.0 Authorization Code Grant. Access tokens cifrados con AES-256-GCM. Rate limiting preventivo (bucket 40, leak 2/s). Relevante.IA no accede a datos de clientes ni pedidos de la tienda.
- Stripe: procesamiento de pagos delegado íntegramente a Stripe. Relevante.IA nunca accede a datos completos de tarjetas de crédito.
3. Gestión de Datos
3.1 Minimización de datos
- Solo recopilamos los datos estrictamente necesarios para prestar el servicio.
- Los prompts enviados a proveedores de IA contienen únicamente datos públicos del negocio del usuario (contenido web, nombre comercial). No se envían datos personales (email, contraseña, datos de pago).
- El sistema de context optimization (SRO Skill Context) reduce el volumen de datos enviados a la IA en un ~35% respecto a un envío completo.
3.2 Aislamiento de datos
- Cada negocio opera como aggregate root en la base de datos con relaciones aisladas.
- Row Level Security (RLS) garantiza que un usuario no pueda acceder a datos de otro usuario bajo ninguna circunstancia.
- Los trabajos asíncronos (BullMQ) se procesan en workers aislados con token interno dedicado.
3.3 Retención y eliminación
- Los plazos de retención están definidos en la Política de Privacidad.
- Al cancelar la cuenta, las credenciales de integración se eliminan inmediatamente.
- Transcurridos los plazos de retención, los datos se eliminan o anonimizan de forma irreversible.
- El usuario puede solicitar la exportación de sus datos en formato JSON antes de la cancelación.
4. Proveedores de IA y Seguridad
| Proveedor | Datos que recibe | Uso para entrenamiento | Garantía |
|---|---|---|---|
| DeepSeek V3 | Contenido público del sitio web, nombre del negocio | No (opt-out activado) | CCT + TIA |
| Anthropic (Claude) | Contenido público del sitio web, nombre del negocio | No (opt-out activado) | CCT + DPF |
| OpenAI | Fragmentos de texto para embeddings, consultas M3 | No (API usage, opt-out) | CCT + DPF |
| Perplexity | Nombre del negocio, consultas de visibilidad | No (API usage) | CCT |
| Google Gemini | Consultas de visibilidad M3 | No (API usage, opt-out) | CCT + DPF |
El usuario puede solicitar que sus análisis se procesen exclusivamente con proveedores con sede en EE.UU./UE (excluyendo DeepSeek) escribiendo a contacto@relevanteia.com.
5. Respuesta ante Incidentes
- Monitorización continua de errores y anomalías en la plataforma.
- Registro de errores (error_logs) y uso de API (api_usage_logs) para detección de comportamientos anómalos.
- En caso de brecha de seguridad que afecte a datos personales, notificaremos a la autoridad de protección de datos competente en un plazo máximo de 72 horas conforme al artículo 33 del RGPD.
- Los usuarios afectados serán notificados sin dilación indebida conforme al artículo 34 del RGPD cuando la brecha pueda suponer un alto riesgo para sus derechos y libertades.
6. Copias de Seguridad
- Backups automáticos de la base de datos (Supabase managed backups).
- Snapshots de páginas WordPress antes de cualquier modificación, permitiendo rollback completo.
- Historial de versiones de páginas modificadas mediante la integración WordPress.
7. Mejora Continua
Revisamos y actualizamos nuestras medidas de seguridad de forma periódica para adaptarnos a nuevas amenazas y mejores prácticas. Si tienes preguntas sobre nuestra seguridad o deseas reportar una vulnerabilidad, contacta con nosotros en contacto@relevanteia.com.
Divulgación responsable:
Si descubres una vulnerabilidad de seguridad en nuestra plataforma, te pedimos que nos lo comuniques de forma responsable antes de hacer cualquier divulgación pública. Nos comprometemos a investigar y resolver cualquier vulnerabilidad verificada en el menor tiempo posible.
8. Contacto
- Email: contacto@relevanteia.com
- Barcelona, España