Paquete de Seguridad y Confianza

DebriefCore

Resumen de seguridad para clientes · Rev 2026.07

Aviso de preparación: DebriefCore está construyendo activamente contra bases de seguridad y gobernanza reconocidas. A menos que se indique explícitamente, el lenguaje de preparación no significa certificación, auditoría completada, cumplimiento legal ni aprobación regulatoria.

01 / Cómo fluyen los datos

De la captura al conocimiento aprobado

Captura

Un experto habla o escribe. Se captura voz o texto con el conocimiento del experto.

Borrador de IA

El proveedor de IA redacta un resumen. Siempre marcado como borrador — nunca enviado al entrenamiento del modelo.

Revisión humana

Un Propietario, Administrador o Revisor autorizado lo aprueba o rechaza. Ningún camino de código aprueba automáticamente.

Conocimiento aprobado

Almacenado con Row Level Security. La Organización A no puede leer los datos de la Organización B.

Preguntas y respuestas de Nova Boardroom

Las respuestas se basan solo en conocimiento aprobado, con fuentes citadas.

Exportaciones y evidencia

Las exportaciones PDF/DOCX y el informe de Evidencia de Gobernanza llevan el mismo registro de auditoría.

02 / Controles actuales

Controles activos en producción hoy

Revisión humana obligatoriaImplemented

Todos los resultados generados por IA permanecen como borradores hasta que una persona autorizada los revise y apruebe. Sin aprobación automática.

Aislamiento de datos por organizaciónImplemented

Row Level Security aplicado a nivel de base de datos. La Organización A no puede leer los datos de la Organización B.

Control de acceso basado en rolesImplemented

Roles de Propietario / Administrador / Revisor / Miembro aplicados en todo el producto y la capa de base de datos.

Registro de auditoríaImplemented

El registro de auditoría de solo-adición registra quién realizó cada acción clave, cuándo y dentro de qué organización.

Encriptado en reposo y en tránsitoImplemented

Postgres AES-256 en reposo (Supabase/AWS). TLS 1.2+ aplicado en todas las conexiones mediante HTTPS de Vercel.

Fotos de referencia — privadas y nunca enviadas a IAImplemented

Fotos almacenadas de forma privada por organización; accesibles solo mediante URLs firmadas de corta duración. Nunca se envían a ningún modelo de IA.

Protección de borrador hasta aprobaciónImplemented

Ninguna ruta del código en DebriefCore permite que un resultado de IA se convierta en conocimiento aprobado sin acción humana.

Gobernanza del ciclo de vida del conocimientoImplemented

Cada artículo tiene un estado de gobernanza. Una verificación diaria marca como obsoletos los artículos vencidos. El historial de revisiones es de solo-adición.

03 / Modelo de confianza de IA

Cómo usa IA DebriefCore

  • Los resultados de IA son siempre borradores — ninguna ruta del código permite la aprobación automática en el conocimiento organizacional.
  • La clave de API del proveedor de IA es solo del lado del servidor — nunca se envía al navegador, nunca se registra.
  • Las fotos de referencia nunca se envían a ningún modelo de IA.
  • El contenido de la sesión de IA de Boardroom no se persiste en el servidor.
  • El proveedor de IA es intercambiable mediante el Panel de Control de IA Empresarial — el modelo de confianza permanece igual independientemente del proveedor.
  • Las interacciones de IA se registran en registros de auditoría incluyendo metadatos del modelo y la intención.

04 / Preparación para cumplimiento

Estado de alineación de marcos regulatorios

MarcoEstado
NIST CSF 2.0Mapped Baseline
OWASP ASVS Level 1Readiness In Progress
SOC 2 (Security)Not Audited
ISO/IEC 27001:2022Not Certified
Privacy / GDPR / CCPALegal Review Required
FAA SMS-Style Safety LearningNot FAA-Approved

05 / Subprocesadores

Principales procesadores de datos de terceros

ProveedorUbicación de datosDPA
SupabaseUS (AWS us-east-1)Available
OpenAIUSAvailable
VercelUS (Vercel edge)Available
ResendUSAvailable
StripeUS (PCI DSS certified)Available

Lista completa de subprocesadores publicada por separado. DPA para clientes disponible bajo solicitud.

06 / Límites honestos

Lo que DebriefCore no afirma

  • Sin auditoría SOC 2
  • Sin certificación ISO/IEC 27001
  • Sin revisión legal de cumplimiento GDPR
  • Sin preparación HIPAA para PHI
  • Sin aprobación FAA
  • La IA no aprueba resultados automáticamente

07 / Contacto

Preguntas de seguridad e investigaciones empresariales

Para preguntas de seguridad, divulgación responsable, revisiones de seguridad empresarial o para solicitar un DPA: hello@debriefcore.com

Página de seguridad completa: debriefcore.com/security

DebriefCore LLC · Paquete de Seguridad y Confianza · Rev 2026.07

Este documento es solo para fines informativos y no constituye certificación, cumplimiento legal ni aprobación regulatoria.