Seguridad y Confianza
Construido para captura de conocimiento revisado por humanos.
DebriefCore está diseñado en torno al conocimiento revisado por humanos, acceso seguro, aislamiento de datos a nivel organizacional, resultados borrador hasta aprobación y una hoja de ruta hacia las mejores prácticas reconocidas de seguridad, privacidad y seguridad.
- Estado
- Producción
- Modelo
- Revisado por humanos, borrador hasta aprobación
- Acceso
- Acceso autenticado al espacio de trabajo
- Datos
- Controles por organización
- Afirmaciones
- Hoja de ruta, no certificación
Estado operativo
Hoja de ruta — No certificaciónResumen de confianza · construido hacia mejores prácticas reconocidas, no una certificación.
Lo que está implementado hoy.
Controles prácticos activos en el producto ahora mismo — descritos claramente, sin exageración.
DebriefCore está construido en torno a un ciclo de vida del conocimiento aprobado por humanos. Los resultados generados por IA permanecen como borradores hasta que los revisen usuarios autorizados, y el conocimiento aprobado puede gobernarse con fechas de revisión, propiedad, criticidad, estado obsoleto, historial de revisiones y registro de actividad.
Revisión humana primero
Todo resultado generado permanece como borrador hasta que una persona calificada lo revise y apruebe. DebriefCore no aprueba automáticamente resultados, no certifica preparación ni reemplaza el juicio del instructor, la autoridad del mecánico ni los procedimientos oficiales.
Aislamiento de datos a nivel organizacional
Los controles de acceso por organización garantizan que cada espacio de trabajo solo pueda acceder a sus propias capturas, resultados, artículos de conocimiento y Paquetes de Contexto. Row Level Security se aplica a nivel de base de datos.
Autenticación segura
Los espacios de trabajo reales requieren acceso autenticado. Los visitantes anónimos pueden explorar el contenido de demostración, pero no pueden generar resultados reales ni escribir datos de producción.
Protecciones de generación solo como borrador
DebriefCore organiza un debrief en borradores estructurados a partir de la información proporcionada por el usuario. Por diseño, no debe inventar hechos, reclamar cumplimiento oficial, aprobar contenido automáticamente ni eludir la revisión humana.
Registro de auditoría y responsabilidad
Las acciones clave — capturas, generación de borradores de IA, aprobaciones humanas, decisiones de gobernanza, subidas de archivos de referencia y exportaciones de datos — se registran en un historial de solo-adición. Propietarios y administradores pueden revisar quién hizo qué y cuándo.
Gobernanza del ciclo de vida del conocimiento
El conocimiento aprobado no queda sin revisión. Cada artículo tiene un estado de gobernanza: Vigente, Necesita revisión, Obsoleto, Superado o Archivado. Una verificación automática diaria marca como obsoletos los artículos vencidos. Cada acción de gobernanza escribe una entrada de revisión de solo-adición que no se puede editar desde la aplicación.
Archivos de referencia privados
Las fotos de referencia se almacenan de forma privada por organización y se visualizan solo mediante enlaces firmados de corta duración. Son material de origen para revisores humanos — nunca se envían a ningún modelo de IA ni se incluyen en exportaciones de datos.
Límites de seguridad crítica
DebriefCore apoya la documentación, el debrief, la continuidad del entrenamiento y la captura de conocimiento. No reemplaza los requisitos de la FAA, los procedimientos de aerolíneas/operadores, los programas SMS/ASAP, los registros oficiales de entrenamiento, el juicio del instructor, la autoridad del mecánico ni ninguna toma de decisiones humana calificada.
Hoja de ruta de alineación de estándares
DebriefCore se está construyendo hacia las mejores prácticas reconocidas de seguridad, privacidad y seguridad, nacionales e internacionales. El cumplimiento formal o la certificación requieren futuras auditorías, políticas, revisión legal y revisión de seguridad.
NIST Cybersecurity Framework
Mapeado como nuestra base de gestión de riesgos en Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar.
ISO/IEC 27001 readiness
Alineación futura del sistema de gestión de seguridad de la información. Sin certificación.
SOC 2 readiness
Trabajando hacia los Criterios de Servicios de Confianza. Sin auditoría.
GDPR & international privacy readiness
Controles de privacidad y documentación en curso. Se requiere revisión legal antes de cualquier afirmación de cumplimiento.
OWASP web application security
Utilizado como base de desarrollo seguro para control de acceso, defensa contra inyecciones y validación de entradas.
FAA SMS-style safety-learning alignment
Soporta debriefs estandarizados y flujos de aprendizaje de seguridad. No reemplaza los sistemas oficiales.
Aviso de preparación: DebriefCore está construyendo activamente contra bases de seguridad y gobernanza reconocidas. A menos que se indique explícitamente, el lenguaje de preparación no significa certificación, auditoría completada, cumplimiento legal ni aprobación regulatoria.
Preparación para Seguridad y Cumplimiento
DebriefCore mantiene documentación interna de preparación contra los principales marcos de seguridad y cumplimiento. Estos son documentos de trabajo — no certificaciones, auditorías ni atestaciones de cumplimiento.
NIST CSF 2.0
Base mapeada — sin certificación NIST
Los controles de DebriefCore están mapeados contra el Marco de Ciberseguridad NIST 2.0 (Gobernar · Identificar · Proteger · Detectar · Responder · Recuperar). Proteger es el área más fuerte. Las brechas de respuesta a incidentes y monitoreo están documentadas.
OWASP ASVS Nivel 1
Base de preparación — sin auditoría formal
Los controles de seguridad de la aplicación están mapeados contra OWASP ASVS Nivel 1. Los controles de autenticación, control de acceso y protección de datos son sólidos. MFA para cuentas de administrador y validación de entradas estandarizada son las brechas prioritarias.
SOC 2 Seguridad
Preparación en curso — sin auditoría
Trabajando hacia los Criterios de Servicios de Confianza SOC 2 (Seguridad). Los controles técnicos son sólidos; la documentación de políticas y la respuesta a incidentes son la ruta crítica. El compromiso de auditoría aún no se ha iniciado.
ISO/IEC 27001
Preparación en curso — sin certificación
Construyendo hacia la preparación del SGSI ISO/IEC 27001:2022. Los controles tecnológicos están bien abordados. La base del SGSI — alcance, evaluación de riesgos, Declaración de Aplicabilidad y políticas formales — aún no se ha establecido.
Privacidad y GDPR
Documentación en curso — revisión legal requerida
La documentación de privacidad, los flujos de derechos de los titulares de datos, la lista de subprocesadores y el DPA del cliente están en curso. Se requiere revisión legal independiente antes de cualquier representación de cumplimiento con GDPR o CCPA.
Aprendizaje de Seguridad Estilo SMS de la FAA
Alineación de aprendizaje de seguridad — sin aprobación FAA
El flujo de captura de conocimiento y debrief de DebriefCore se alinea con los principios de aprendizaje de seguridad. No se integra con los programas SMS o ASAP de la FAA y no sustituye ningún requisito regulatorio de gestión de seguridad.
Hoja de ruta de privacidad de datos
Trabajo de privacidad en nuestra hoja de ruta. Estos elementos aún no están disponibles — se rastrean aquí de forma honesta, no implícita.
- Exportación de conocimiento aprobado (JSON / CSV)Available
- Eliminación de datosPlanned
- Controles de retenciónPlanned
- Lista de subprocesadoresPlanned
- Consideraciones de datos regionalesPlanned
- Avisos de privacidad multilingüePlanned
- Revisión legal independienteNeeds Legal Review
Lo que DebriefCore no afirma
Ser claros sobre lo que no somos es parte de ser confiables. DebriefCore no hace ninguna de las siguientes afirmaciones.
- Sin auditoría SOC 2
- Sin certificación ISO/IEC 27001
- Sin revisión legal de cumplimiento GDPR
- Sin preparación HIPAA para PHI
- Sin aprobación FAA
- No reemplaza sistemas oficiales de seguridad, capacitación ni mantenimiento
- No aprueba automáticamente resultados generados por IA
Preguntas frecuentes sobre Seguridad y Confianza
¿DebriefCore está certificado SOC 2?
No. DebriefCore no está auditado ni certificado SOC 2. Mantenemos documentación interna de preparación SOC 2 contra los Criterios de Servicios de Confianza de AICPA, pero no hemos completado una auditoría formal — y no afirmaremos una certificación que no tenemos.
¿DebriefCore está certificado ISO/IEC 27001?
No. DebriefCore no está certificado ISO/IEC 27001. Rastreamos la preparación del sistema de gestión de seguridad de la información (SGSI) contra ISO/IEC 27001:2022 como base interna. La certificación requiere una auditoría formal por un organismo acreditado, que no hemos completado.
¿DebriefCore cumple con el GDPR y puedo obtener un DPA?
Mantenemos documentación de privacidad y manejo de datos, pero no afirmamos cumplimiento con GDPR o CCPA sin revisión legal independiente. Las organizaciones que necesiten un Acuerdo de Procesamiento de Datos (DPA) pueden solicitarlo en hello@debriefcore.com.
¿Qué marcos de seguridad y cumplimiento sigue DebriefCore?
DebriefCore mapea sus controles contra bases reconocidas: NIST CSF 2.0 (base mapeada), OWASP ASVS Nivel 1 (preparación), SOC 2 (preparación — sin auditoría) e ISO/IEC 27001 (preparación — sin certificación). Estas son bases de preparación que guían nuestro programa de seguridad, no certificaciones.
¿DebriefCore usa mis datos para entrenar modelos de IA?
No. DebriefCore envía contenido a los proveedores de IA a través de sus niveles de API, que no se utilizan para entrenar los modelos públicos de los proveedores. Las fotos de referencia nunca se envían a ningún modelo de IA, las respuestas de Boardroom provienen solo de tu conocimiento aprobado y tu base de conocimiento permanece propiedad de tu organización.
¿DebriefCore aprueba automáticamente el contenido generado por IA?
No. DebriefCore trata los resultados generados por IA como borradores. El conocimiento debe ser revisado y aprobado por una persona autorizada antes de convertirse en conocimiento organizacional aprobado.
¿Pueden los usuarios ver datos de otra organización?
No. DebriefCore está diseñado en torno a controles de acceso por organización para que los usuarios trabajen dentro de su espacio de trabajo autorizado.
¿Pueden los colaboradores editar el borrador de otra persona?
No. Los colaboradores y miembros pueden editar sus propios borradores. Los revisores, administradores y propietarios pueden revisar y gestionar los resultados de toda la organización según su rol.
¿DebriefCore rastrea los cambios en el conocimiento?
Sí. DebriefCore soporta historial de revisiones y registro de actividad para que los equipos puedan ver cambios importantes, acciones de revisión, aprobaciones, actualizaciones de estado obsoleto y eventos de gobernanza.
¿DebriefCore reemplaza el juicio humano?
No. DebriefCore está construido para apoyar el juicio humano, no para reemplazarlo. La IA ayuda a redactar y estructurar el conocimiento, pero las personas autorizadas lo revisan, aprueban, gobiernan y mantienen.
Control de IA Empresarial
DebriefCore está diseñado para que el flujo de trabajo del conocimiento gobernado no esté vinculado a un único proveedor de modelo. Los clientes empresariales pueden solicitar patrones de proveedor de IA propio — OpenAI del cliente, Azure OpenAI o AWS Bedrock — más almacenamiento/exportación propiedad del cliente y conversaciones de despliegue en nube privada.
Trae tu propio proveedor de IA y clave
Dirige la IA a tu propia cuenta/clave de OpenAI en lugar del proveedor predeterminado de la plataforma. Las claves se gestionan del lado del servidor como referencias secretas — nunca almacenadas en texto plano, nunca enviadas al navegador.
Enrutamiento de Azure OpenAI y AWS Bedrock
Ejecuta la generación de borradores y las respuestas de Boardroom en Azure OpenAI o AWS Bedrock en tu propio tenant/región de nube. La abstracción del proveedor está lista; estos backends están planificados, aún no activos.
Almacenamiento y exportación propiedad del cliente
Conversa sobre almacenamiento propiedad del cliente y exportación estructurada del conocimiento aprobado para que tu organización conserve una copia portátil de su base de conocimiento gobernada.
Despliegue en nube privada
Los patrones de despliegue en nube privada/dedicada están disponibles como compromisos empresariales personalizados. Alcance por organización.
El proveedor de IA puede cambiar. El modelo de confianza, no.
Cualquiera que sea el proveedor que ejecute el modelo, el modelo de confianza central de DebriefCore permanece igual: los resultados generados por IA siguen siendo borradores, las personas autorizadas aprueban el conocimiento y la organización lo gobierna a través de roles, historial de revisiones, registros de auditoría, fechas de revisión, propiedad y seguimiento de conocimiento obsoleto. Los metadatos del proveedor y el modelo se registran en los registros de auditoría — nunca los secretos del proveedor.
¿Interesado en una configuración de IA propia o nube privada? Inicia una conversación empresarial a continuación.
Preguntas de seguridad o divulgación responsable
Para preguntas de seguridad o confianza, contacta a hello@debriefcore.com. Por favor no envíes contraseñas, secretos, claves privadas ni datos regulados sensibles por correo.