Centro de confianza y seguridad ArtinLeap

ArtinLeap se compromete con los más altos estándares de seguridad, privacidad y transparencia. Como plataforma de inteligencia artificial para agencias, reconocemos nuestra responsabilidad en el manejo de datos confidenciales en los ecosistemas de Google, Microsoft, Atlassian, Slack, Notion y otros. Nuestra postura de seguridad es auditada y supervisada continuamente por Seguridad TAC y Seguridad en el Aikido.

I. Hoja de ruta de cumplimiento y validación

Mantenemos una visión transparente de nuestro estado de cumplimiento, categorizado por logros verificados y flujos de trabajo activos.

1.1 Certificaciones conseguidas

• Google CASA (aprobado por el nivel 2): El Tractores orquestales la aplicación ha superado satisfactoriamente la evaluación de seguridad de aplicaciones en la nube (CASA) realizada por TAC Security. Nuestra puntuación cibernética verificada es 9,7/10.
• Protección estandarizada de terminales: Protección antivirus y antimalware líder del sector mediante Bitdefender se implementa en todas las estaciones de trabajo emitidas por la empresa para evitar el movimiento lateral y el robo de credenciales.

1.2 Flujos de trabajo activos (en curso)

• Preparación para la Ley de Inteligencia Artificial de la UE (alta prioridad): Actualmente estamos implementando el marco de gobierno requerido para los sistemas de IA de alto riesgo en virtud de la AIA (artículos 9, 10 y 11). Esto incluye un sistema formal de gestión de riesgos y documentación técnica para la trazabilidad.
• Cumplimiento del RGPD: En la actualidad Cumple con el 97%, auditado por Aikido Security. Nos adherimos estrictamente al artículo 2.1 (Principios del procesamiento) y al artículo 4.9 (Seguridad del procesamiento).
• Preparación para la HIPAA: En la actualidad Cumple con el 91%. Hemos implementado la mayoría de las medidas de seguridad administrativas, técnicas y físicas necesarias para manejar la información médica protegida (PHI).
• Preparación para SOC 2 tipo I: Los controles internos están finalizados y se están supervisando, actualmente en 89% de finalización. La certificación de tipo II está programada para el primer trimestre de 2026.

1.3 Hoja de ruta futura

• Certificación ISO 27001: El análisis formal de brechas y la certificación están programados para TERCER TRIMESTRE DE 2026.

1.4 Solicitud de informes

• Los informes de cumplimiento formales (informes SOC 2, HIPAA o CASA) están disponibles para los clientes empresariales en virtud de un acuerdo de confidencialidad. Dirija las solicitudes a: info@artinleap.com

II. Estándares criptográficos y de seguridad de datos

2.1 Residencia e infraestructura de datos

• Ubicación de cómputos: Nuestra aplicación utiliza una plataforma de nube distribuida de alta seguridad con recursos informáticos ubicados en Francia, Europa.
• Ubicación de almacenamiento: Todos los datos persistentes del cliente se almacenan en Alemania, Europa.
• Seguridad física: Operamos con una arquitectura 100% nativa de la nube y no mantenemos servidores físicos ni centros de datos locales.
• Cumplimiento del acceso a la red: Constantemente se aplican reglas exhaustivas de segmentación de red y firewall para restringir el acceso a la base de datos únicamente a los servicios autorizados, evitando el acceso remoto no autorizado.

2.2 Protocolos de cifrado

• En tránsito: Todos los datos que se transfieren entre los usuarios, los agentes y los servicios integrados se cifran mediante Solo TLS 1.3.
• En reposo: Las bases de datos se configuran con Cifrado AES-256 administrado por KMS. Mantenemos un ciclo de actualización continuo para todas las bibliotecas criptográficas a fin de evitar ataques de «degradación».

III. Gobernanza de la IA y cadena de suministro de software

3.1 Privacidad de los datos de IA y garantía de «no formación»

• Política de formación: Garantizamos que los datos de los clientes, los documentos y el contenido del servicio integrado NO se utilicen para capacitar o mejorar a nuestros agentes sin el consentimiento explícito del usuario.
• Seguridad que prioriza las API: Utilizamos puntos finales de API de nivel empresarial para todas las interacciones de LLM. En virtud de estos acuerdos contractuales, se prohíbe a los proveedores (OpenAI, Anthropic, etc.) utilizar los datos para la formación de modelos.

3.2 Orquestación de modelos dinámicos

Orkestrators emplea una estrategia independiente del proveedor para ofrecer las mejores capacidades de razonamiento:

• Agnosticismo de proveedores de modelos: Integramos los últimos modelos de proveedores de primer nivel, incluidos OpenAI (GPT), Anthropic (Claude), Google (Gemini), Amazon (Nova), xAI (Grok), Mistral y NVIDIA (Llama/Nemotron).
• Lógica de selección dinámica: Las tareas se distribuyen entre los niveles «Ultra/Pro» (para un razonamiento complejo) y «Flash/Lite» (para mayor velocidad y eficiencia).
• Puerta de enlace segura: Nosotros utilizamos Enrutador abierto como nuestra pasarela de administración segura. Esto nos permite integrar nuevos modelos de forma inmediata sin comprometer la seguridad.

3.3 Cadena de suministro de software (DevSecOps)

• Detección de vulnerabilidades: Nosotros utilizamos Snyk para el análisis continuo de la composición del software (SCA). Todas las bibliotecas de terceros y dependencias se analizan en busca de vulnerabilidades antes de pasar a la fase de producción.
• Monitorización unificada de riesgos: Seguridad en el Aikido proporciona un panel unificado para monitorear los riesgos en nuestro código, infraestructura de nube y secretos.

IV. Control de identidad, acceso y perímetro

Implementamos una arquitectura inspirada en la «confianza cero» para garantizar que solo el personal y los procesos autorizados puedan interactuar con datos confidenciales.

4.1 Control de acceso y autorización

• El principio de autorización: El Tractores orquestales el agente siempre accede a los datos del usuario mediante siguiendo estrictamente el proceso de autorización y permisos de acceso definidos por los servicios integrados (Google, Microsoft, Atlassian, Slack).
• Minimización del alcance (privilegio mínimo): En la actualidad estamos Cumple en un 96% con los controles de acceso lógico. Solo solicitamos los alcances de OAuth mínimos necesarios para la tarea específica que el usuario ha autorizado.
• Acceso justo a tiempo (JIT): Implementamos Acceso a JIT para nuestros entornos de producción. Ningún empleado tiene acceso administrativo permanente; los privilegios se otorgan solo cuando son necesarios para realizar tareas de mantenimiento específicas y registradas.

4.2 Autenticación y seguridad de la estación de trabajo

• Autenticación de usuario: Gestionado mediante Autor0, imponiendo un hash de contraseñas salado y seguro y la autenticación multifactor (MFA) para todos los usuarios.
• Cuentas privilegiadas: Las cuentas administrativas internas están protegidas mediante MFA respaldado por hardware (FiDO2/YubiKey).
• Aislamiento SDLC: Aplicamos estrictamente la separación de entornos. Los entornos de desarrollo, pruebas y producción están aislados (SOC 2 CC6.1) para evitar «desviaciones en la configuración» y garantizar que los datos actuales de los clientes nunca se utilicen en las pruebas.

V. Alcances detallados de integración (OAuth)

Para brindar total transparencia a los administradores de TI, divulgamos los alcances estándar solicitados para nuestras integraciones principales. Estos permisos permiten al agente leer, crear y modificar el contenido según lo indique el usuario.

‍Política de integridad de datos: Nuestro agente apoya Leer, crear y modificar operaciones. Hacemos cumplir estrictamente un Sin eliminación definitiva política; cualquier tarea de eliminación se gestiona como una «eliminación parcial» (por ejemplo, pasa al estado «Papelera» o «Archivado») dentro del servicio de origen para garantizar la capacidad de recuperación de los datos.

5.1 Integración con Google (Drive, Calendar, Gmail)

• Acceso de lectura: manejar, calendario. Solo lectura, gmail.solo lectura
• Escribir y modificar: calendario.eventos, gmail.enviar, gmail.modificar, gmail.compose
• Configuración: gmail.settings.basic
• Finalidad: Permite al agente gestionar las programaciones, redactar o enviar comunicaciones y organizar los archivos en Google Workspace.

5.2 Integración con Microsoft (Outlook, Calendar, OneDrive/SharePoint)

• Administración de correo electrónico y carpetas: Correo. Lectura y escritura, Correo.Enviar, Carpeta de buzón. Lectura y escritura, Configuración del buzón. Lectura y escritura
• Operaciones de calendario: Calendarios. Lectura y escritura, Configuración del buzón. Leer
• Orquestación de archivos y sitios: Archivos.ReadWrite.All, Sites.Create.All, Sitios. Leer todos (Cubre los entornos de OneDrive y SharePoint).
• Finalidad: Permite al agente actuar como un asistente de productividad total dentro del ecosistema de Microsoft 365.

5.3 Integración de Atlassian (Jira y Confluence)

• Gestión de proyectos de Jira: lea: jira-work, escribe: jira-work, administrar: jira-project, administrar:jira-configuration, lea: epic: jira-software
• Gestión del conocimiento de Confluence: escribe:confluence-content, lea: confluence-content.summary, buscar: confluencia, escribe:confluence-file, administrar:configuración de confluencia
• Identidad y acceso sin conexión: lee: yo, acceso_offline
• Finalidad: Permite al agente automatizar los flujos de trabajo de los tickets, gestionar las configuraciones de los proyectos y mantener la documentación de Confluence.

5.4 Integración con Slack

• Contexto de conversación: canales:historial, grupos:historia, im: historia, mpim:historia
• Usuario y búsqueda: usuarios:leer, buscar:leer, canales:leer
• Mensajería e interacción: chatear: escribir, im: escribir, mpim:escribir
• Finalidad: Facilita la recuperación profunda del contexto de las conversaciones de Slack y permite al agente interactuar con miembros del equipo o grupos privados.

VI. Respuesta e informes de incidentes

Mantenemos un riguroso plan de respuesta a incidentes diseñado para minimizar el impacto y garantizar una comunicación rápida.6.1 Canales de denuncia (orden de prioridad)

1. Canal principal (tickets de soporte): Para una resolución y un seguimiento más rápidos, todos los usuarios deben Abrir un ticket de soporte en nuestro sistema de gestión de servicios.
2. Consultas de seguridad y cumplimiento: Para revisiones de seguridad formales, informes de vulnerabilidad o preguntas sobre cumplimiento, póngase en contacto con: info@artinleap.com
3. Soporte secundario: La ayuda técnica general puede dirigirse a: support@artinleap.com

6.2 Compromisos

• Notificación acelerada de infracciones: En caso de una violación de datos confirmada, ArtinLeap se compromete a notificar a los clientes afectados y a las autoridades reguladoras pertinentes dentro de 24 horas.
• Contacto de seguridad 24/7: Un servicio de seguridad dedicado está disponible a través de nuestro portal de servicio de asistencia para los incidentes críticos y activos.
• Política de divulgación de vulnerabilidades (VDP): Mantenemos un VDP público para fomentar la denuncia responsable de las fallas de seguridad por parte de la comunidad investigadora.

VII. Marco legal y de gobierno

• Subprocesadores clave: Mantenemos una lista de subprocesadores que cumple con la ley, incluidos nuestro proveedor de almacenamiento y computación en la nube (ubicado en la UE), Auth0 (identidad), OpenRouter (enrutamiento modelo) y Snyk (escaneo de seguridad).
• Ley aplicable: Los servicios para usuarios de la UE e internacionales se rigen por la ley francesa. Los servicios para los usuarios de EE. UU. se rigen por la ley de Delaware.
• Presencia corporativa: ArtinLeap es una SAS francesa con sede en Valbonne (Sophia Antipolis). Para brindar un mejor servicio a nuestros socios de América del Norte, mantenemos una oficina comercial estadounidense dedicada en Mountain View (California).
• Acceso a la documentación: Acceda a nuestro completo Documentación de la guía del usuario y manuales técnicos a través de nuestro portal.
• Políticas: Política de privacidad | Términos y condiciones