Seguridad · Compliance
Tus datos, protegidos. Tu negocio, conforme.
Validio se construyó sobre los requisitos de GDPR y la EU AI Act 2026 desde el primer commit. Sin cláusulas escondidas, sin transferencias fuera de la UE para datos regulados, sin terceros que retengan tus logs. Esta página explica exactamente qué hacemos con tu información.
GDPR
Reglamento UE 2016/679 — implementado, no decorado
Cada operación de tratamiento tiene base legal documentada, el derecho al olvido es un endpoint real y el DPA está disponible bajo NDA para clientes Agency.
Base legal por operación
Interés legítimo para análisis de mercado público, ejecución de contrato para procesar datos de tu organización y consentimiento explícito para cualquier perfilado con PII. Cada caso queda registrado en nuestro registro de actividades de tratamiento (Art. 30).
Derecho al olvido funcional
El endpoint DELETE /api/v1/data-subjects/:id elimina en cascada jobs, agent_tasks, logs y memorias del agente. Plazo máximo 30 días naturales (Art. 17). No es una promesa de marketing: es código en producción.
DPA disponible bajo NDA
Para planes Agency y White-Label firmamos un Data Processing Agreement con cláusulas estándar de la Comisión Europea. Solicítalo por email y lo recibes en menos de 48 h hábiles.
EU AI Act 2026
Clasificación: Riesgo Limitado (Art. 6)
Validio apoya decisiones empresariales mediante recomendaciones presentadas a humanos. No automatiza decisiones laborales, crediticias ni de acceso a servicios — eso lo coloca fuera del régimen de Riesgo Alto.
Transparencia obligatoria cumplida
Cada análisis indica explícitamente que el contenido lo genera un sistema de IA. El usuario final siempre sabe que está interactuando con agentes Claude Sonnet, no con un consultor humano.
Trazabilidad de decisiones automatizadas
Cada agente del pipeline (Lead Qualifier, Business Analyzer, ROI Calculator, etc.) deja registro estructurado del input, output y duración en agent_tasks. Cualquier recomendación es auditable hasta el prompt que la generó.
Auditoría local, sin terceros
Los logs de cumplimiento se escriben directamente en nuestra base de datos (Supabase EU). Está prohibido enviar logs de auditoría o memoria de agentes a SaaS externos — la política de borrado la controla Validio en todo momento.
Cifrado
Tres capas: tránsito, reposo, secretos
Nada viaja en claro, nada se almacena en claro, nada queda registrado en logs. Defense-in-depth aplicado al stack completo.
TLS 1.3 en tránsito
Toda comunicación entre frontend, backend, agentes y proveedores externos viaja sobre TLS 1.3 (TLS 1.2 como mínimo aceptado). HTTP plano se rechaza en todos los endpoints de producción.
AES-256-GCM para tokens
Los tokens OAuth de Google Search Console / GA4 y las API keys BYOK se cifran con AES-256-GCM antes de persistirse. La clave maestra vive solo en Railway como variable de entorno — nunca en el código ni en logs.
Supabase encryption at rest
Toda la base de datos PostgreSQL y los buckets de Cloudflare R2 cifran el contenido en reposo nativamente. Backups incluidos. Sin tablas externas, sin réplicas fuera de control.
Residencia de datos
Datos europeos en infraestructura europea
Para cualquier dato clasificado como regulado, no hay transferencia fuera de la Unión Europea. Punto.
Supabase EU-West (Frankfurt)
Toda la base de datos PostgreSQL —jobs, agent_tasks, user_profiles, créditos, integraciones— vive en la región europea de Supabase. Ningún dato cruza el Atlántico.
Cloudflare R2 — bucket EU
Los reportes HTML y PDF generados se almacenan en R2 con location hint europea. Los archivos están firmados con URLs efímeras (no son públicos por defecto).
Sin transferencia fuera de UE
Validio no enruta datos regulados (PII de ciudadanos europeos, contenido interno del cliente) hacia proveedores LLM externos sin clasificación previa. Para esos casos existe el módulo privado en VPC propio.
Auditoría
Logs estructurados, retención corta, cero PII
La trazabilidad para la EU AI Act se consigue sin retener datos personales. Cada evento es un JSON estructurado con campos auditables, no un text dump con emails dentro.
Eventos estructurados
Todos los logs siguen un esquema JSON con campos fijos (event, job_id, user_id, duration_ms, …). Greppables, agregables y libres de PII por diseño. Catálogo de eventos documentado internamente.
Retención 90 días por defecto
Los logs operacionales se rotan a los 90 días salvo obligación legal específica. Los registros de cumplimiento exigidos por la EU AI Act se retienen el mínimo legal aplicable (10 años para el módulo de decisiones documentadas).
Sentry con PII scrubber
El SDK de Sentry (frontend y backend) tiene un before_send que filtra emails, teléfonos, NIF, tokens y headers de auth antes de subir cualquier evento. Verificado en tests automatizados.
Subcontratistas
Cuatro proveedores, propósitos declarados
Lista completa de empresas con acceso a datos procesados por Validio. Mínimo necesario, propósito documentado por cada uno.
Anthropic
Inferencia LLM (Claude Sonnet 4.6 + Haiku 4.5) para los agentes del pipeline.
Solo datos públicos del análisis (URL, descripción de negocio, contenido scrapeado público). Cero PII de ciudadanos europeos.
OpenAI
Embeddings (text-embedding-3-small) para el motor de búsqueda semántica de la base de conocimiento de Lupin.
Chunks de documentación interna de Validio (no contenido de clientes). Sin PII en ningún caso.
Stripe
Procesamiento de pagos, suscripciones y facturación.
Datos estrictamente necesarios para la transacción: email, nombre, dirección de facturación. Los datos de tarjeta nunca tocan los servidores de Validio (PCI-DSS gestionado por Stripe).
Resend
Envío de emails transaccionales (confirmaciones, alertas, reportes).
Email del destinatario y contenido del mensaje. Sin tracking pixels, sin enriquecimiento de perfil.
Roadmap compliance
Lo que ya cumplimos y lo que viene
Estado actual de cada marco regulatorio. Las certificaciones futuras son metas declaradas, no compromisos contractuales — los plazos pueden moverse según planificación.
Implementado
GDPR · Reglamento UE 2016/679
Base legal documentada, derecho al olvido funcional, DPA disponible bajo NDA.
Cumplido
EU AI Act 2026 · Riesgo Limitado
Transparencia obligatoria, trazabilidad de decisiones y auditoría local sin terceros.
Auditoría programada
ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información en evaluación con auditor externo. Sin fecha pública confirmada.
En evaluación
SOC 2 Type 1
Marco de controles de seguridad orientado al mercado anglosajón. Bajo análisis de viabilidad y coste-beneficio.
Soporte legal
¿Tu equipo legal necesita el DPA antes de firmar?
Escribe a support@seo-invoke.com con el dominio de tu organización y te enviamos el Data Processing Agreement bajo NDA en menos de 48 h hábiles.