Compliance-by-design. No checklist.

Nuestro runtime de producción está hospedado en infraestructura en la Unión Europea por defecto. Los clientes UE obtienen procesamiento EU-only bajo solicitud, con la excepción de proveedores que no ofrecen región UE (listados en la política de privacidad con su región).

Procesamiento US-only o LATAM-only está disponible para clientes con requisitos regulatorios que lo exijan, contrato por contrato.

Aislamiento por fila

Los datos de cada tenant están particionados a nivel de base de datos. El contexto de tenant se aplica automáticamente en cada query: el código de aplicación no puede aceptar un tenant_id de un caller, por diseño.

Whitelist de herramientas

Cada agente lleva una lista explícita de herramientas e integraciones permitidas. Si un modelo intentara llamar algo fuera de la lista, el runtime rechaza la llamada antes de salir a un tercero.

Sin entrenamiento cross-tenant

Los datos de tus conversaciones nunca se usan para entrenar modelos que vendamos a otros clientes. Usamos APIs zero-retention con nuestros proveedores LLM.

Todos los datos se encriptan en tránsito (TLS 1.3) y en reposo (AES-256 sobre almacenamiento gestionado). Los secretos se gestionan en Doppler y se rotan en calendario.

Los backups se encriptan con los mismos controles y se conservan 30 días.

El acceso a datos de cliente está restringido a los engineers que están entregando o soportando activamente el agente de ese cliente: una lista corta y nominal por engagement. Todo acceso queda logueado.

Los engineers usan cuentas nominales, MFA por hardware y credenciales de vida corta. Sin cuentas compartidas. Sin reutilización de contraseñas entre sistemas.

GDPR

EU-hosted por defecto. DPA firmado antes de tocar datos reales. Subencargados listados en la política de privacidad.

CCPA

No vendemos información personal. Residentes en California pueden ejercer derechos CCPA vía contacto@auphere.com.

LGPD

Clientes brasileños pueden solicitar procesamiento alineado con LGPD: mismas garantías operativas que GDPR, con enmiendas contractuales según sea necesario.

SOC 2 Type 1

Auditoría en curso. Objetivo de cierre Q3 2026. Compartimos el cuestionario de seguridad y los controles vigentes bajo NDA, a solicitud.

La lista completa y actualizada de subencargados se publica en nuestra política de privacidad, con la región y el propósito de cada uno. Notificamos a los clientes con antelación ante cualquier cambio.

Nos comprometemos a notificar a los clientes afectados de cualquier incidente de seguridad confirmado en un plazo de 72 horas desde su detección, con lo que sepamos en ese momento y cómo estamos respondiendo.

Hacemos postmortems sin culpa para cualquier incidente de producción con impacto material y compartimos los hallazgos relevantes con los clientes.

Si crees haber encontrado un problema de seguridad, escribe a contacto@auphere.com con asunto [security]. Acusamos recibo en 1 día laboral, arreglamos los problemas verificados sin ceremonia y damos crédito a los reporteros que quieran el reconocimiento.