Defensa en profundidad · no marketing security
Esta página explica nuestra postura técnica real · cómo cifrar datos · cómo aislamos tenants · cómo auditamos · cómo gestionamos vulnerabilidades. Sin badges falsos · sin "SOC 2 ready" vagueness.
Cifrado defensa en profundidad
AES-256 en reposo (Supabase pgsodium) · TLS 1.2+ en tránsito · whatsapp_access_token cifrado per-tenant · TOKEN_ENCRYPTION_KEY rotation pattern con _OLD fallback para zero-downtime.
Tenant isolation · RLS by default
25 tablas Supabase con Row Level Security habilitado · enforcement a nivel SQL · zero cross-tenant leakage. Cada query filtra por clinica_id en defensa en profundidad sobre RLS.
Auditoría completa por mensaje
Cada interacción (inbound · LLM call · tool use · outbound · handoff) queda registrada en audit_log con request_id propagado · trazabilidad legal-grade para auditorías y AEPD.
Output guardrails LLM
37 patrones de filtros pre-envío detectan: precios inventados · cobertura seguros falsa · diagnóstico médico · prompt injection · PII en output. 1.394 tests automatizados refuerzan invariantes.
Disclosure responsable
Si encuentras vulnerabilidad de seguridad · escríbenos a security@aiempire.software · acuse de recibo en 24h · plan de remediación en 7 días.
Reconocimiento público a investigadores que reporten responsablemente (hall of fame · pendiente). No bounty monetario aún · pre-revenue.
Lo que NO somos
No somos SOC 2 · aspiracional para 2027 cuando tengamos volumen. No somos HIPAA certified · operamos en Europa · target es RGPD. No somos ISO 27001 · esto requiere ~1 año de implementación que aún no justifica nuestro stage.
Lo que SÍ somos: técnicamente sólidos · auditables · honestos sobre nuestros gaps. Si lo que buscas es check-box compliance certificada · no somos para ti aún. Si buscas seguridad real · calibrada · que mejore con cada cliente · sí.