Saltar al contenido

Seguridad · Confianza

Self-hosted por diseño. Tus datos nunca salen de tu infraestructura.

Olivares AI gobierna el acceso de los agentes de IA en tu infraestructura, así que está hecho para ser seguro primero. Funciona dentro de tu propia infraestructura, observa en solo lectura y registra el mapa de acceso — no los datos que circulan por él. Esta página es cómo lo demostramos, con honestidad.

Tratamiento de datos

Qué tocamos y qué nunca sale

La garantía de privacidad más fuerte es arquitectónica, no un certificado: como Olivares AI es self-hosted, los datos sensibles se quedan en tu perímetro y nosotros nunca los vemos.

Funciona en tu infraestructura

Self-hosted en tus propios hosts, clústeres o nubes — el propio control plane puede funcionar totalmente air-gapped, registrando su mapa de acceso sin egress de tus datos. Los agentes que gobiernas siguen llegando a las APIs que invocan, como un proveedor de modelos gestionado; solo los modelos self-hostables funcionan del todo offline. Self-hosted significa que tus datos no salen de tu entorno.

Aristas, no payloads

Registra relaciones de acceso — qué agente puede llegar a qué recurso, lectura frente a lectura/escritura — no los cuerpos de consulta, payloads ni secretos que pasan por ellas. Lo que no guardamos, no se filtra.

Secretos y PII redactados

Las entradas que puedan llevar secretos o datos personales se redactan y se escanean en busca de secretos antes de escribir nada. Cualquier detalle adicional es algo que el operador tiene que activar conscientemente.

Observación en solo lectura

El colector observa; nunca escribe en tus bases de datos ni modifica tus hosts. Lee identidades como un rol o el nombre de una aplicación — no valores de credenciales. No es un sniffer de datos.

Sin telemetría a casa

Seguro por defecto significa sin llamadas a casa: la telemetría hacia el proveedor está desactivada salvo que la actives explícitamente. No te enviamos nada de tu parque.

Tú controlas la retención

La retención y el purgado son configurables, y en despliegues air-gapped no sale nada, sin excepción.

Divulgación de vulnerabilidades

Reportar un problema de seguridad

Damos la bienvenida a la divulgación coordinada y actuamos de buena fe con quien hace lo mismo. Los hallazgos en el propio modelo de seguridad son especialmente bienvenidos.

Reporta en privado a

security@olivares.ai

Por favor, no abras una incidencia, pull request o discusión pública por una vulnerabilidad sospechada. Hay PGP disponible si lo pides antes de enviar los detalles.

Política completa Política de divulgación de vulnerabilidades (SECURITY.md) Contacto legible por máquina /.well-known/security.txt (RFC 9116)

Qué esperar

  • Acuse de recibo en 3 días hábiles
  • Evaluación inicial en 10 días hábiles
  • Divulgación coordinada hasta 90 días, antes si sale el arreglo

Por favor, no envíes

Nada de secretos, credenciales o tokens reales (redáctalos), ni datos personales de clientes o terceros ni volcados de producción, y nada de explotación en vivo de sistemas que no sean tuyos. Describe el impacto sensible en vez de adjuntarlo — coordinaremos un canal seguro.

Olivares AI es pre-lanzamiento. Todavía no hay versiones etiquetadas con soporte; los arreglos de seguridad se aplican solo a la rama main.

Subprocesadores

Quién más trata datos

Esta web no usa subprocesadores de analítica, publicidad ni seguimiento. Es un sitio estático con fuentes self-hosted, una Content-Security-Policy estricta de mismo origen y sin cookies. Se sirve a través de una red de distribución de contenidos, que solo maneja los metadatos de conexión necesarios para entregar la página — no recogemos datos personales cuando navegas.

Para el producto en sí: como Olivares AI es self-hosted en tu propia infraestructura, no hay subprocesador del lado del proveedor para tus datos. Se quedan en tu perímetro y nosotros no los vemos. Cualquier oferta gestionada futura publicaría su propia lista de subprocesadores; hoy no se ofrece ninguna.

Tratamiento de datos

Acuerdo de tratamiento de datos (Art. 28 RGPD)

Hay un Acuerdo de Tratamiento de Datos disponible a petición para compras enterprise. Como Olivares AI es self-hosted, en la mayoría de los despliegues sigues siendo el responsable y encargado de tus propios datos dentro de tu propia infraestructura; aun así, se puede firmar un DPA para formalizar las responsabilidades de una relación comercial.

Solicitar un DPA

Postura de compliance

Honestos sobre dónde estamos

Olivares AI es pre-lanzamiento y no está certificado bajo SOC 2, ISO/IEC 27001, el Reglamento de IA de la UE ni ningún otro marco, y no hay ninguna auditoría en curso. Diseñamos el producto para que mapee a los controles que esos marcos examinan — registro de auditoría, control de acceso, integridad, cifrado y gestión de cambios — para que esté listo para auditarse cuando llegue el momento. La certificación formal (por ejemplo, SOC 2 Type 2) es un paso posterior que la arquitectura está hecha para habilitar; no bloquea el primer lanzamiento.

Marcos hacia los que diseñamos

  • SOC 2 / ISO 27001

    Objetivos de control hacia los que diseñamos — no certificados, en el roadmap.

  • Reglamento de IA de la UE

    Diseñado para apoyar sus expectativas de control y documentación.

  • CSA MAESTRO

    Una metodología de modelado de amenazas con la que mapeamos — no es un estándar certificable.

  • Amenazas agénticas OWASP

    Mapeado contra la lista de amenazas y mitigaciones agénticas.

  • Guías de CISA / NIST

    Guías, no un estándar certificable — diseño-hacia, sin reclamar conformidad.

Cuando describimos alineación con marcos externos, es un mapeo técnico, no una certificación — y para estándares que aún no son definitivos es una señal de diseño-hacia, sin reclamar conformidad.

Integridad de la build

  • Los releases están firmados criptográficamente, incluyen un inventario de software (SBOM) y llevan procedencia de build.
  • Un único binario estático con seguridad de memoria, en imágenes de contenedor mínimas y endurecidas.
  • Dependencias mínimas y fijadas — sin scripts de instalación que ejecuten código sin verificar.
  • El escaneo de dependencias y de secretos bloquea cada cambio en CI.

Estas garantías entran en vigor en el primer release etiquetado; hoy el proyecto es pre-alpha.

Objetivos de remediación

  • Crítica 7 días
  • Alta 14 días
  • Media 30 días
  • Baja siguiente release programado

Nuestra cadencia de remediación comprometida, en vigor en el primer release etiquetado. Las vulnerabilidades explotadas activamente se tratan como críticas.

Preguntas de confianza

¿A dónde van mis datos?

En la edición self-hosted, tus datos se quedan dentro de tu propia infraestructura; Olivares AI no los recibe. El producto registra el mapa de acceso — no los payloads, secretos o datos personales que se mueven por él.

¿Estáis certificados en SOC 2 o ISO 27001?

Todavía no. El producto está diseñado para mapear a los objetivos de control de SOC 2 e ISO 27001 para que esté listo para auditarse, pero la certificación formal está en el roadmap y no se ha obtenido. No reclamaremos una certificación que no tenemos.

¿Cómo reporto una vulnerabilidad de seguridad?

Escribe en privado a security@olivares.ai — por favor, no abras una incidencia pública. Nuestra política completa está en SECURITY.md, enlazada desde /.well-known/security.txt (RFC 9116). Acusamos recibo en tres días hábiles.

¿Ofrecéis un DPA?

Sí, hay un Acuerdo de Tratamiento de Datos del Artículo 28 del RGPD disponible a petición para compras enterprise. Contacta con enterprise@olivares.ai.

¿Preguntas de tu equipo de seguridad o de compras?

Reporta una vulnerabilidad a nuestro contacto de seguridad, o escríbenos para compras, un DPA o una revisión de seguridad.

Reportar una vulnerabilidad Contactar con compras