Seguridad
Última actualización: 12 de enero de 2026
En AICONTEXT, la seguridad de tus datos es fundamental. Esta página explica las medidas técnicas que implementamos para proteger tu información.
1. Principios de Seguridad
Defense in Depth
Múltiples capas de seguridad: autenticación, RLS, encriptación, logs.
Privacy by Design
Datos mínimos necesarios. Aislamiento por usuario desde el diseño.
Least Privilege
Cada componente tiene solo los permisos mínimos necesarios.
2. Row Level Security (RLS)
RLS es una técnica de seguridad a nivel de base de datos que garantiza que los usuarios solo puedan acceder a sus propias filas de datos.
Utilizamos Supabase PostgreSQL con RLS habilitado en todas las tablas que contienen datos de usuario.
Ventajas de RLS
- Imposible de saltarse:
Aunque haya un bug en el código, la base de datos rechazará peticiones no autorizadas.
- Auditabilidad:
Las políticas están definidas en SQL y versionadas en el repositorio.
- Rendimiento:
El filtrado ocurre a nivel de base de datos con índices optimizados.
CREATE POLICY "Users can only see own briefs"
ON ai_use_briefs FOR SELECT
USING (auth.uid()::text = user_id);3. Autenticación
Utilizamos Supabase Auth para la gestión de identidades:
- Contraseñas seguras:
Hasheadas con bcrypt. Nunca almacenamos contraseñas en texto plano.
- OAuth (Google):
Delegamos la autenticación a Google mediante OAuth 2.0 con PKCE.
- Tokens JWT:
Sesiones gestionadas con tokens firmados y verificados en cada petición.
- Verificación de email:
Los usuarios deben verificar su email antes de acceder a funciones completas.
4. Encriptación
TLS 1.3 para todas las conexiones (HTTPS obligatorio). HSTS habilitado.
AES-256 para datos almacenados en Supabase (discos encriptados).
Variables de entorno encriptadas en Vercel. Nunca hardcodeadas en el código.
5. Infraestructura y Proveedores
Nuestros proveedores cumplen con estándares de seguridad reconocidos:
| Servicio | Proveedor | Certificaciones |
|---|---|---|
| Hosting | Vercel | SOC 2 Type II, ISO 27001 |
| Base de datos | Supabase (Frankfurt) | SOC 2 Type II, GDPR, EU servers |
| Pagos | Stripe | PCI DSS Level 1 |
| IA (Chatbot) | OpenAI | SOC 2, SCCs para transferencias UE |
6. Logs de revisión
Registramos acciones sensibles para cumplir con RGPD Art. 33 (notificación de brechas):
Eventos registrados
- • Inicios de sesión
- • Creación de AI Context Briefs
- • Cambios de configuración
- • Accesos administrativos
Retención
- • Logs de seguridad: 12 meses
- • Logs de revisión admin: 24 meses
- • Acceso: Solo personal autorizado
7. Respuesta a Incidentes
En caso de brecha de seguridad:
- 1.Notificación (72h):
Informamos a usuarios afectados y a la AEPD según RGPD Art. 33.
- 2.Análisis:
Identificamos la causa raíz y documentamos el incidente.
- 3.Remediación:
Aplicamos correcciones y reforzamos medidas afectadas.
- 4.Transparencia:
Comunicamos las lecciones aprendidas (sin revelar vulnerabilidades explotables).
Reportar Vulnerabilidades
Si descubres una vulnerabilidad de seguridad, contacta con nosotros de forma responsable en soporte@aicontext.eu
Agradecemos los reportes responsables y nos comprometemos a responder en 48 horas.