Saltar al contenido principal
AI Empire
Compliance roadmap · honest pre-revenue

Roadmap compliance

6 certificaciones · qué tenemos · qué falta · cuándo cada una. Honest sobre el gapentre compliant (operacionalmente cumplimos) y certified (con papel + audit externo). RGPD ahora · ISO/SOC2 post-Enterprise-client.

Reservar revisión DPOPolítica residencia datosSubprocesadores DPASeguridad
2/6
Compliant ahora
RGPD + AI Act alignment
2027-2028
ISO 27001 + SOC 2
Post-Enterprise-client justifies audit cost
Trimestral
Update roadmap
Status real cada Q · honest reporting
Evidence pack
{'<'}72h
DPAs · architecture · runbooks · sample audit logs

6 certificaciones · status detallado

Por cada cert: qué tenemos implementado · qué falta para certificación formal · target date realista · blockers honestos.

RGPD · LOPDGDD compliance

Reglamento Europeo Protección Datos + Ley Orgánica española · obligatorio para tratar datos paciente UE

Implementado · sin certificar
Qué tenemos
  • DPA firmable cliente ↔ AI Empire (AEC Art. 28)
  • DPAs con 8 subprocesadores documentados (ver /subprocesadores)
  • RLS multi-tenant strict (ver /architecture-overview)
  • Política privacidad · cookies · subprocesadores · exportación + residencia datos públicas
  • Right to access · portability · erasure · rectification implementados (ver /data-export-policy)
  • Audit logs durables 7 años (Elite tier)
  • PII scrubbing automático Sentry logs
Qué falta
  • Designar DPO externo formal post-CIF (Jonatan acts ahora · post-tracción se contrata externo)
  • AEPD opinion request específica WhatsApp + IA generativa healthcare (preparada cuando llegue primer cliente)
Target: Compliant ahora · DPO formal Q3 2026
Blockers: Pendiente CIF + primer cliente para justificar DPO externo

AI Act (UE) alignment

Reglamento UE Inteligencia Artificial · clasificación 'limited risk' para chatbot healthcare · disclosures + human oversight obligatorios

Implementado · sin certificar
Qué tenemos
  • Disclaimer NO-diagnóstico en todas conversaciones bot
  • Human-in-the-loop hard-coded (ver /playbook-handoff-humano · 6 zonas siempre humano)
  • Documentation técnica IA system (purpose · risk · safeguards)
  • Outputs guardrails (anti-claims · anti-precios-inventados · anti-medical-advice)
  • Brand voice CI gate (anti-claims violations en deploy pipeline)
Qué falta
  • Conformity assessment formal cuando timeline AI Act se active healthcare specifically (2026-2027 implementation timeline)
  • Audit externo IA system + risk assessment post-primer-cliente
Target: Alignment principios ahora · conformity assessment Q4 2026
Blockers: Timeline AI Act implementation healthcare aún definiéndose UE

ISO 27001 (Information Security Management)

Standard internacional gestión seguridad información · 114 controles distribuidos en 14 dominios · audit externo cada 3 años

Planeado
Qué tenemos
  • Multi-tenant RLS strict · encryption AES-256 reposo · TLS 1.3 tránsito
  • Rotación secrets blue-green pattern (semestral · runbook documentado)
  • Audit logs durables + access control granular
  • Sentry monitoring + UptimeRobot polling · incident response runbook (ver /runbooks-publicos)
  • Backups durables Supabase Point-in-Time Recovery · verify mensual
  • DPAs con todos subprocesadores · supply chain visibility (ver /subprocesadores)
Qué falta
  • Information Security Management System formal documentation
  • Risk assessment formal + risk treatment plan
  • Internal audit + management review process
  • Audit externo certified ISMS auditor (~15-25k€ Stage 1 + Stage 2)
Target: Stage 1 audit Q2 2027 · ~12 meses post-primer-Enterprise-client
Blockers: Coste audit externo solo justificable con Enterprise client pagando · pre-revenue diferido

SOC 2 Type II

Service Organization Control 2 · audit americano · Type II = 12 meses operación + audit · vital para selling US clínicas/DSOs

Planeado
Qué tenemos
  • Trust Services Criteria alignment (Security · Availability · Processing Integrity · Confidentiality · Privacy)
  • Documentación arquitectura técnica + runbooks operacionales públicos
  • Audit logs · access controls · encryption · backup procedures · incident response · vendor management documentados
Qué falta
  • 12 meses operación con controls auditable consistente (typically necesita 1+ cliente Enterprise + log auditable Q1 2026 → Q1 2027 mínimo)
  • Audit externo SOC 2 firm (Big 4 o tier 2 · 25-50k€ Type II · varios meses)
  • Pre-audit gap analysis recomendado (~5-10k€ separately)
Target: Audit start Q1 2027 (post-1 año operación con Enterprise client · ~Q1 2028 cert)
Blockers: Pre-requisite: 1+ Enterprise client + 12 meses operación consistente

ENS (Esquema Nacional Seguridad · España)

Obligatorio solo si vendemos a Administración Pública española (clínicas concertadas · hospitales públicos). Pre-revenue no aplica.

Diferido post-tracción
Qué tenemos
  • Mucho alignment ya con ENS Medio level (cifrado · audit · backup · RLS)
  • Architecture EU-resident default (alineado ENS hosting EU)
Qué falta
  • Categorización formal ENS Medio/Alto
  • Cumplimiento 75-114 medidas según nivel
  • Auditoría organismo certificador acreditado ENAC
Target: Cuando exista primer cliente Administración Pública · estimated 2028+
Blockers: Pre-revenue + foco mercado privado · diferido hasta tracción específica sector público

HIPAA-ready (US healthcare)

Health Insurance Portability and Accountability Act (US) · solo aplica si vendemos a clínicas US. Pre-revenue España no aplica.

Diferido post-tracción
Qué tenemos
  • BAA (Business Associate Agreement) template draft preparado
  • Subprocesadores con HIPAA compliance (Cloudflare · Supabase · Sentry · OpenAI · Stripe)
  • Architecture practices alineadas Privacy Rule + Security Rule (mucho overlap con RGPD)
Qué falta
  • BAA firmable con cliente US
  • PHI (Protected Health Information) handling procedures formal documentation
  • HIPAA training documentation + access controls audit US-style
  • US data residency setup custom (no es default)
Target: Cuando exista primer prospect US serio · estimated 2028+
Blockers: Foco España + LATAM · US fuera scope estratégico pre-tracción

Timeline visualizada

Roadmap por quarter · achievements esperados · realistic pre-revenue startup. Si quedamos atrás, lo decimos en update trimestral.

Q2 2026 (NOW)
  • RGPD + LOPDGDD compliant (ahora)
  • AI Act alignment principios (ahora)
  • 8 DPAs subprocesadores firmados/firmables
  • 11 evidence pages públicas (sla · architecture · runbooks · postmortems · etc · ver footer)
Q3 2026
  • Modelo 036 + RETA founder (cierra primer cobro real)
  • DPO externo contratado (formal designation)
  • ISO 27001 gap analysis interno (pre-audit prep)
Q4 2026 - Q1 2027
  • 1+ Enterprise client signed
  • 12 meses operación auditable (start window SOC 2 Type II)
  • AI Act conformity assessment formal
Q2 2027 - Q4 2027
  • ISO 27001 Stage 1 + Stage 2 audit · certificación
  • SOC 2 Type II audit start
Q1 2028+
  • SOC 2 Type II report final · certified
  • ENS audit (si first cliente sector público)
  • HIPAA (si first prospect US)

6 principios compliance roadmap

Honest about lo que tenemos vs falta
Diferenciamos 'compliant' (operacionalmente cumplimos) vs 'certified' (con cert papel + audit externo). Mayoría compliance work HECHA · faltan certs formales por coste/timing.
Pre-revenue = pre-audit
Audits ISO 27001 + SOC 2 cuestan 25-50k€. Solo justificable con Enterprise cliente pagando. Pre-revenue invertirlo en producto · post-revenue invertirlo en certs.
Pequeñas/medianas clínicas: RGPD suffices
98% clínicas España necesitan SOLO compliance RGPD + LOPDGDD + AI Act alignment. ISO/SOC2 son para DSO/Enterprise. No vendemos certs que no necesitas.
Evidence pack disponible siempre
Si tu compliance officer necesita evidence specific (DPAs · architecture docs · runbooks · audit logs sample · incident response), entregamos pack en <72h. Sin NDA per documento.
Roadmap update trimestral
Esta página se actualiza Q1/Q2/Q3/Q4 con status real cada cert. Si quedamos atrás de timeline publicado, lo decimos · no escondemos. Honest > silent.
Custom roadmap Enterprise
Si tu organización requiere cert específico no en roadmap (e.g., ISO 27017 cloud · ISO 27018 PII cloud · TISAX automotive · etc), discutimos timeline custom durante onboarding Enterprise.
Reality check · 98% clínicas no necesitan ISO/SOC2

Mayoría clínicas privadas Españarequieren SOLO compliance RGPD + LOPDGDD + AI Act alignment. Eso lo tenemos ahora. ISO 27001 + SOC 2 son requirements específicos de DSO grandes + grupos hospitalarios + clientes US.

No vendemos compliance theater. Algunos vendors publican "ISO 27001 in progress" sin justificación real · marketing scaremongering. Nosotros: si tu clínica no necesita ISO, no te asustamos · si necesitas, te decimos timeline real.

Pre-revenue economics: ISO 27001 audit = 15-25k€ (Stage 1+2) · SOC 2 Type II = 25-50k€. Pre-revenue invertir esos 40-75k€ en producto + GTM · post-revenue con cliente Enterprise pagando, justifica invertir en certs. Es math · no falta de seriedad.

¿Tu compliance officer necesita evidence específica?

Si tu DPO/CISO/compliance team necesita evidence pack específico (DPAs · architecture diagrams · audit log samples · incident response demonstration · etc), entregamos en <72h sin friction. No NDA per documento · sin slow-walk.

Solicitar evidence packArquitectura técnicaResidencia datosRunbooks operacionales