Seguridad y privacidad en AI Comply

Toda la información (inventario, filiación fiscal, PDFs generados, alertas) se almacena en Supabase EU Central 1 (Frankfurt, Alemania). No se replica fuera del Espacio Económico Europeo en ningún momento.

Las copias de seguridad automáticas de Supabase también se mantienen dentro del EEE. La infraestructura cumple ISO 27001, SOC 2 Type 2 y GDPR por defecto.

En reposo: AES-256 sobre el disco de la base de datos. Las claves de cifrado las gestiona AWS KMS (Supabase corre sobre AWS).

En tránsito: TLS 1.3 obligatorio para todas las conexiones. Certificado TLS gestionado por Vercel (proveedor de hosting de la aplicación web).

Las contraseñas de usuario nunca se guardan en claro: Supabase Auth las almacena con bcrypt (factor de coste 10). Si algún día filtrásemos la BD, las contraseñas no serían recuperables.

Cada usuario solo ve los datos de SU organización. Esto no es por convención del código de aplicación: lo impone la propia base de datos con Row Level Security de PostgreSQL. Aunque un bug en el código intentara consultar datos de otro cliente, la BD los rechazaría.

Tenemos 29 políticas RLS activas cubriendo las tablas organizations, ai_systems, pdf_purchases, profiles y todas las relacionadas. Auditables ante cualquier inspección.

En cualquier momento puedes ir a Ajustes → Zona de Peligro y pulsar "Borrar mi cuenta y todos mis datos". Tras confirmar (input + checkbox), eliminamos:

• Tu organización y filiación fiscal
• Inventario de sistemas IA
• Documentos generados
• Alertas regulatorias asignadas
• Tu cuenta de autenticación (auth.users)

El borrado es cascade en BD (FK ON DELETE CASCADE en todas las tablas dependientes) y es irreversible. Solo se conservan los recibos de pago en Stripe Dashboard por obligación contable (Ley General Tributaria art. 29.2.e), anonimizados de tu organización.

En modo invitado no estás obligado a dejar tu filiación fiscal: el PDF puede salir con los datos en blanco y la factura se emite a nombre de tu correo. Lo que aportes se guarda en tu cuenta para que puedas editarlo más adelante, y puedes borrarlo cuando quieras desde la Zona de Peligro de Ajustes.

Los pagos los procesa Stripe, certificado PCI DSS Service Provider Level 1 (el nivel más alto). Cuando pulsas "Pagar" en /dashboard/pricing te redirigimos a checkout.stripe.com — tu número de tarjeta nunca pasa por nuestros servidores.

Nosotros solo guardamos el ID de cliente de Stripe (cus_...) y el ID de la sesión (cs_...) para reconciliar tu compra con el webhook. Sin datos de tarjeta.

• No vendemos tus datos a terceros. Ni los compartimos con socios comerciales.
• No entrenamos modelos IA con tus datos. Ni propios ni de terceros (las llamadas a Anthropic Claude usan enrollment=false para entrenamiento, política comercial estándar Anthropic API).
• No usamos cookies de tracking publicitario. Solo cookies técnicas de sesión (Supabase Auth) y la analítica anónima de Vercel.
• No transferimos datos fuera del EEE bajo ningún supuesto. Si en el futuro contratásemos un proveedor con cláusulas tipo, te avisaríamos con 30 días de antelación.
• No leemos tu inventario internamente. Los datos los procesa el software para generarte el PDF. CPG Estudio IA solo accede manualmente con tu permiso explícito si pides soporte.

• Política de Privacidad completa
• Términos y Condiciones
• Contrato de Encargado del Tratamiento (DPA) bajo solicitud— firmamos DPA si tu organización lo requiere