Saltar al contenido

Seguridad · Confianza

Verifica , no confíes.

Cada versión pública se publica firmada, atestiguada y con un inventario de componentes de software — verificas la procedencia y la integridad con herramientas públicas en lugar de fiarte de nosotros. El pipeline está construido y se ejercita en CI hoy; su evidencia será pública con la primera versión.

Cadena de suministro

Lo que acompaña a cada versión

El pipeline de release genera estos artefactos automáticamente. Aún no existe una versión pública — los elementos marcados como "primera versión" serán verificables en cuanto se publique la primera versión etiquetada; security.txt está vivo hoy.

Primera versión

SLSA Build Level 3

Los binarios de versión se construyen con GitHub Actions con atestación de procedencia SLSA mediante slsa-github-generator. La atestación demuestra que el binario se generó a partir del código fuente confirmado, en un entorno de compilación reforzado, sin intervención manual.

Cómo funciona la verificación
Primera versión

Firmas cosign sin clave

Los artefactos de versión se firman con Sigstore cosign (modo sin clave vía Fulcio + Rekor). Puedes verificar las firmas sin que distribuyamos una clave pública: el registro de transparencia es la raíz de confianza.

Guía de verificación
Primera versión

Inventario de componentes de software

Cada versión incluye SBOM en formatos CycloneDX y SPDX, con el listado de cada dependencia, su versión y licencia. Legible por máquina, auditable.

Cómo verificar el SBOM
Primera versión

Avisos OpenVEX

Las vulnerabilidades conocidas y su aplicabilidad a cada versión se publican como documentos OpenVEX. Las declaraciones VEX distinguen entre "afectado", "no afectado" y "en investigación".

Cómo se verifican los avisos
Vivo

security.txt (RFC 9116)

Una política de divulgación de vulnerabilidades legible por máquina en /.well-known/security.txt, conforme a RFC 9116. Incluye contacto, enlace a la política y fecha de caducidad.

Ver security.txt

Arquitectura

Seguridad por diseño

Denegación por defecto

El estado desconocido se deniega, no se permite. Cada decisión de política usa denegación por defecto: un motor que no puede alcanzar su almacén de políticas rechaza todas las solicitudes en lugar de fallar en abierto.

Auditoría de solo anexión

El libro de auditoría es de solo anexión con encadenamiento criptográfico. Los eventos no pueden modificarse ni eliminarse silenciosamente: la manipulación rompe la cadena y es detectable.

Sin llamadas a casa

El motor se ejecuta completamente en tu entorno. La verificación de licencia es offline (comprobación de firma Ed25519). Sin telemetría, sin llamadas de red obligatorias, sin servidor de activación.

Mínimo privilegio

RBAC y ABAC basados en Cedar con concesiones acotadas. Roles personalizados, techos de delegación y acceso de emergencia con doble control. El conjunto de permisos por defecto está vacío.

Cumplimiento

Estado de cumplimiento

Publicamos lo que está vivo, lo que está construido a la espera de la primera versión pública y lo que aún no hemos comenzado. No reclamamos certificaciones que no hayamos obtenido.

Vivo hoy

  • RFC 9116 security.txt

    Política de divulgación de vulnerabilidades legible por máquina, viva en /.well-known/security.txt.

Construido — público con la primera versión

  • SLSA Build Level 3

    Atestación de procedencia mediante slsa-github-generator — construida y ejercitada en CI; se publica con cada versión etiquetada.

  • SBOM (CycloneDX + SPDX)

    Inventario de componentes de software generado en cada build de versión.

  • Firmas cosign sin clave

    Firma de artefactos basada en Sigstore vía Fulcio + Rekor.

  • Avisos OpenVEX

    Declaraciones de aplicabilidad de vulnerabilidades por versión.

Planificado

  • SOC 2 Type II

    Planificado. Necesario para la modalidad de nube gestionada, no para autoalojamiento.

  • ISO 27001

    Planificado. Calendario sin comprometer.

  • Test de penetración independiente

    Planificado. Se publicará cuando se complete.

Postura por marco

Postura de cumplimiento

El producto mapea capacidades a 25 catálogos de marcos de cumplimiento. A continuación se muestra la postura de preparación para los marcos más solicitados por compradores enterprise. Cada elemento es un mapeo de preparación, no una certificación.

Preparación mapeada

ISO/IEC 27001:2022

Mapeo de controles del Anexo A con punteros a evidencia. No certificado.

Preparación mapeada

ISO/IEC 42001:2023

Mapeo de preparación AIMS — el producto genera la evidencia que un AIMS necesita. No certificado.

Preparación mapeada

SOC 2 Type II

Mapeo de Trust Services Criteria (Security / Common Criteria). Sin atestación.

Preparación mapeada

EU AI Act

Plantilla de documentación técnica Anexo IV. El producto es tooling de gobernanza, no un sistema del Anexo III.

Preparación mapeada

CSA STAR / AICM

Autoevaluaciones CAIQ v4 y AI-CAIQ (AICM v1.0) preparadas. No enviadas al STAR Registry.

Preparación mapeada

GDPR

Runbook RTBF con crypto-shred, atestación de residencia, retención y retención legal. Self-hosted: el cliente es responsable y encargado del tratamiento.

Preparación mapeada

NIST AI RMF 1.0

Mapeo de subcategorías incluyendo el Perfil de IA Generativa (AI 600-1).

Parcial

DORA

Exportación de vista de riesgo ICT; el generador del Registro de Información es un add-on enterprise.

Preparación mapeada

Directiva NIS 2

Mapeo de obligaciones con postura de cadena de suministro ICT y evidencia de notificación de incidentes.

Paquete de confianza

Documentos de due-diligence

El paquete de confianza está publicado en el repositorio del código fuente. Los compradores enterprise pueden solicitar el paquete completo — incluyendo cuestionarios pre-rellenados y la guía de evaluación — vía enterprise@olivares.ai.

Los archivos disponibles son instantáneas Markdown públicas con procedencia de origen. Los elementos sin una fuente compartible siguen disponibles bajo petición.

Cuestionario

Autoevaluación CAIQ v4

CSA Cloud Controls Matrix v4 — 17 dominios con punteros a evidencia.

Descargar (Markdown)
Cuestionario

Autoevaluación AI-CAIQ / AICM

CSA AI Controls Matrix v1.0 — 18 dominios incluyendo Model Security.

Descargar (Markdown)
Cuestionario

Banco de respuestas a cuestionarios

33 respuestas pre-verificadas alineadas a SIG 2026, CSA AI-CAIQ y cuestionarios habituales de comprador.

Descargar (Markdown)
Arquitectura

Arquitectura de referencia

Arquitectura para el comprador: tres zonas de confianza, topologías de despliegue, HA/DR, dimensionamiento.

Descargar (Markdown)
Evaluación

Guía de evaluación

Prueba de valor en 10 días laborables — criterios pass/fail contra el binario real.

Descargar (Markdown)
Comercial

Matriz de funcionalidades

Comparativa completa Community (AGPL) vs Enterprise — los 26 add-ons.

Descargar (Markdown)
Seguridad

Guía de bastionado

Verificación del modelo de amenazas con evidencia file:line — listo para pentest.

Disponible bajo petición
Accesibilidad

VPAT

Voluntary Product Accessibility Template para la consola de administración.

Descargar (Markdown)

Tratamiento de datos

Sub-encargados del tratamiento

Olivares AI es software self-hosted. El producto se ejecuta completamente en tu infraestructura — los datos nunca salen de tu perímetro. No hay sub-encargados del tratamiento de datos del cliente. Los proveedores de LLM son tus proveedores, no los nuestros; el producto los inventaría para tu gestión de riesgos de terceros.

Si se introduce una oferta de nube gestionada, los sub-encargados se listarán aquí antes de que comience cualquier tratamiento de datos.

Servicios del proveedor

Nuestro sitio web, licencias y comunicaciones funcionan sobre:

Cloudflare

Activo

Alojamiento web, DNS y protección antibot.

Resend

Desde el lanzamiento

Correo transaccional y entrega del boletín.

Polar

Desde la disponibilidad comercial

Merchant of record para licencias comerciales.

GitHub

Activo

Alojamiento del código fuente y comunidad.

No utilizamos ningún proveedor de analítica del lado del cliente ni ejecutamos analítica en el navegador.

Veríficalo tú mismo

No te fíes de nuestra palabra

Desde la primera versión pública, cada afirmación sobre artefactos de esta página es verificable con herramientas públicas — el script incluido recorre firmas, atestaciones e integridad del SBOM. Descarga primero los artefactos; nunca canalices un instalador a una shell.

# Se incluye con la primera versión pública — descarga los
# artefactos de la versión y ejecuta el verificador desde ese directorio:
scripts/verify-release.sh                              # sin clave (Sigstore)
scripts/verify-release.sh --key cosign.pub --offline   # air-gap, sin red

El script comprueba firmas cosign, procedencia SLSA y las atestaciones de SBOM y OpenVEX. La cadena completa de comandos manuales está documentada en la guía verify-a-release de la documentación.

Evaluación enterprise

Despliega el estate de demostración en cinco minutos y luego ejecuta la prueba de valor completa en 10 días laborables. La guía de evaluación incluye criterios pass/fail contra el binario real — sin slides, sin sandbox, sin entorno de demo diferente al de producción.

Preguntas sobre confianza

¿Tenéis SOC 2 o ISO 27001?

Todavía no. Existen mapeos de preparación para ambos — SOC 2 (Trust Services Criteria) e ISO 27001 (controles del Anexo A) — con punteros a evidencia en el código. SOC 2 Type II está planificado para la modalidad de nube gestionada. Publicamos postura, no afirmaciones.

¿Se ha realizado un test de penetración del producto?

Todavía no. El programa está comprometido con alcance, cadencia y presupuesto documentados. El primer test independiente está planificado para después del lanzamiento; los resultados se publicarán.

¿Cómo verifico que una versión es auténtica?

Cuando se publique la primera versión pública: ejecuta el script de verificación incluido (scripts/verify-release.sh) o verifica manualmente con cosign — cada versión lleva atestación de procedencia SLSA y firmas cosign, sin necesidad de confiar en nosotros. Hasta entonces no hay artefacto público que verificar, y esta página lo dice en lugar de fingir lo contrario.

¿Dónde se almacenan mis datos?

Olivares AI es self-hosted: tus datos permanecen en tu propia infraestructura. El proveedor nunca ve, almacena ni procesa tus datos. No hay sub-encargados del tratamiento. La nube gestionada (cuando esté disponible) ofrecerá compromisos de residencia de datos.

¿Hay un DPA disponible?

El DPA está en revisión legal. Está disponible bajo petición a través de enterprise@olivares.ai antes de cualquier relación que implique tratamiento de datos personales.

¿Qué marcos de cumplimiento soporta el producto?

El producto mapea 25 catálogos de marcos incluyendo EU AI Act, NIST AI RMF, ISO 42001, SOC 2, ISO 27001, GDPR, NIS 2, DORA, OWASP Agentic, CSA AICM y leyes estatales de IA de EE.UU. Cada marco es dato con evidencia por control, no una afirmación de certificación.

¿Cómo evalúo el producto?

Compila desde el código fuente, arranca el estate de demostración en cinco minutos y sigue la guía de evaluación de 10 días. Cada criterio es pass/fail contra el binario real. Contacta con enterprise@olivares.ai para una licencia de evaluación enterprise que desbloquea los 26 add-ons durante la POV.

¿Cuál es la diferencia entre Community y Enterprise?

El build AGPL es la plataforma completa — nada se elimina. Enterprise añade 26 capacidades de mitigación de riesgos y operación a escala (multi-IdP, firewall de contenido, retención WORM, registro DORA, y más) más una excepción legal al copyleft AGPL y soporte con SLA. La matriz completa de funcionalidades está en el paquete de confianza.

La seguridad empieza por la transparencia

Cada versión pública se publica firmada, atestiguada y documentada — verifica la integridad tú mismo. La evidencia es pública desde la primera versión.