DebriefCore
Resumen de seguridad para clientes · Rev 2026.07
Aviso de preparación: DebriefCore está construyendo activamente contra bases de seguridad y gobernanza reconocidas. A menos que se indique explícitamente, el lenguaje de preparación no significa certificación, auditoría completada, cumplimiento legal ni aprobación regulatoria.
01 / Cómo fluyen los datos
De la captura al conocimiento aprobado
Captura
Un experto habla o escribe. Se captura voz o texto con el conocimiento del experto.
Borrador de IA
El proveedor de IA redacta un resumen. Siempre marcado como borrador — nunca enviado al entrenamiento del modelo.
Revisión humana
Un Propietario, Administrador o Revisor autorizado lo aprueba o rechaza. Ningún camino de código aprueba automáticamente.
Conocimiento aprobado
Almacenado con Row Level Security. La Organización A no puede leer los datos de la Organización B.
Preguntas y respuestas de Nova Boardroom
Las respuestas se basan solo en conocimiento aprobado, con fuentes citadas.
Exportaciones y evidencia
Las exportaciones PDF/DOCX y el informe de Evidencia de Gobernanza llevan el mismo registro de auditoría.
02 / Controles actuales
Controles activos en producción hoy
Todos los resultados generados por IA permanecen como borradores hasta que una persona autorizada los revise y apruebe. Sin aprobación automática.
Row Level Security aplicado a nivel de base de datos. La Organización A no puede leer los datos de la Organización B.
Roles de Propietario / Administrador / Revisor / Miembro aplicados en todo el producto y la capa de base de datos.
El registro de auditoría de solo-adición registra quién realizó cada acción clave, cuándo y dentro de qué organización.
Postgres AES-256 en reposo (Supabase/AWS). TLS 1.2+ aplicado en todas las conexiones mediante HTTPS de Vercel.
Fotos almacenadas de forma privada por organización; accesibles solo mediante URLs firmadas de corta duración. Nunca se envían a ningún modelo de IA.
Ninguna ruta del código en DebriefCore permite que un resultado de IA se convierta en conocimiento aprobado sin acción humana.
Cada artículo tiene un estado de gobernanza. Una verificación diaria marca como obsoletos los artículos vencidos. El historial de revisiones es de solo-adición.
03 / Modelo de confianza de IA
Cómo usa IA DebriefCore
- Los resultados de IA son siempre borradores — ninguna ruta del código permite la aprobación automática en el conocimiento organizacional.
- La clave de API del proveedor de IA es solo del lado del servidor — nunca se envía al navegador, nunca se registra.
- Las fotos de referencia nunca se envían a ningún modelo de IA.
- El contenido de la sesión de IA de Boardroom no se persiste en el servidor.
- El proveedor de IA es intercambiable mediante el Panel de Control de IA Empresarial — el modelo de confianza permanece igual independientemente del proveedor.
- Las interacciones de IA se registran en registros de auditoría incluyendo metadatos del modelo y la intención.
04 / Preparación para cumplimiento
Estado de alineación de marcos regulatorios
| Marco | Estado | Nota |
|---|---|---|
| NIST CSF 2.0 | Mapped Baseline | Base mapeada — sin certificación NIST |
| OWASP ASVS Level 1 | Readiness In Progress | Base de preparación — sin auditoría formal |
| SOC 2 (Security) | Not Audited | Preparación en curso — sin auditoría SOC 2 |
| ISO/IEC 27001:2022 | Not Certified | Preparación en curso — sin certificación |
| Privacy / GDPR / CCPA | Legal Review Required | Documentación en curso — revisión legal requerida |
| FAA SMS-Style Safety Learning | Not FAA-Approved | Solo alineación — sin aprobación de la FAA |
05 / Subprocesadores
Principales procesadores de datos de terceros
| Proveedor | Servicio | Ubicación de datos | DPA |
|---|---|---|---|
| Supabase | Base de datos, autenticación, almacenamiento | US (AWS us-east-1) | Available |
| OpenAI | Inferencia de IA (asistente de conocimiento, Boardroom) | US | Available |
| Vercel | Alojamiento, CDN, sin servidor | US (Vercel edge) | Available |
| Resend | Correo transaccional | US | Available |
| Stripe | Procesamiento de pagos | US (PCI DSS certified) | Available |
Lista completa de subprocesadores publicada por separado. DPA para clientes disponible bajo solicitud.
06 / Límites honestos
Lo que DebriefCore no afirma
- Sin auditoría SOC 2
- Sin certificación ISO/IEC 27001
- Sin revisión legal de cumplimiento GDPR
- Sin preparación HIPAA para PHI
- Sin aprobación FAA
- La IA no aprueba resultados automáticamente
07 / Contacto
Preguntas de seguridad e investigaciones empresariales
Para preguntas de seguridad, divulgación responsable, revisiones de seguridad empresarial o para solicitar un DPA: hello@debriefcore.com
Página de seguridad completa: debriefcore.com/security
DebriefCore LLC · Paquete de Seguridad y Confianza · Rev 2026.07
Este documento es solo para fines informativos y no constituye certificación, cumplimiento legal ni aprobación regulatoria.