Seguridad en ONTHEBIAS.

Cada espacio de trabajo está lógicamente aislado. Los proyectos, el estado del lienzo, las conversaciones con OBIE, los recursos generados y las cargas de marca están limitados al espacio de trabajo que los posee y se aplican en la capa de base de datos mediante seguridad a nivel de fila, de modo que los datos de un cliente nunca son accesibles desde la sesión de otro. Los diseños que creas nunca se agrupan ni se comparten entre cuentas.

Todo el tráfico hacia y desde la plataforma se cifra en tránsito con TLS 1.2 o superior. Los datos en reposo - tus registros de base de datos, los recursos de marca cargados y los archivos generados en el almacenamiento de objetos - se cifran con AES-256. Las copias de seguridad se cifran con el mismo estándar.

Las cuentas están protegidas por Supabase Auth. Las contraseñas se cifran con hash y sal; nunca las almacenamos en texto plano y no podemos verlas. Se admiten la confirmación por correo electrónico y el inicio de sesión con enlace mágico, y los tokens de sesión son de corta duración y se renuevan en el servidor.

El SSO y SAML están disponibles en los planes Enterprise, de modo que tu equipo puede iniciar sesión a través de tu proveedor de identidad existente y dar de baja a los usuarios de forma centralizada. Contáctanos para configurarlo en tu espacio de trabajo.

Los espacios de trabajo usan acceso basado en roles - propietario, administrador, miembro y observador - para que decidas quién puede editar, quién puede invitar y quién solo puede ver. Dentro de ONTHEBIAS, el acceso a los sistemas de producción se limita a las personas que lo necesitan, se concede según el principio de privilegio mínimo y queda registrado.

OBIE y nuestro flujo de generación funcionan con API comerciales de IA de Anthropic y Google. Usamos sus niveles comerciales sin entrenamiento, lo que significa que tus instrucciones, las imágenes cargadas y los resultados se envían únicamente para cumplir la solicitud que hiciste en el momento y no se usan para entrenar sus modelos. El contenido de tus diseños nunca se usa para entrenar ningún modelo de nuestra propiedad.

Conservamos tus datos mientras tu espacio de trabajo esté activo para que la plataforma funcione como esperas. Cuando eliminas un proyecto, lienzo o recurso, se retira del sistema en vivo y de las copias de seguridad según la rotación habitual de copias.

Puedes exportar tus datos en cualquier momento. Tras la cancelación de la cuenta dispones de 30 días para exportar, después de los cuales podremos eliminarlos de forma permanente.

Toda la facturación se gestiona a través de Stripe, un procesador certificado de nivel 1 de PCI DSS. Los datos de la tarjeta se introducen directamente en Stripe y se tokenizan: los números completos de tarjeta nunca pasan por nuestros servidores y nunca los almacenamos.

Si crees que has encontrado un problema de seguridad, cuéntanoslo. Escribe a security@onthebias.co con los detalles y los pasos para reproducirlo, y confirmaremos la recepción y trabajaremos en el informe. Te pedimos que nos des un plazo razonable para corregir el problema antes de divulgarlo públicamente y que evites acceder o modificar los datos de otros usuarios mientras realizas pruebas.

Consulta también /.well-known/security.txt

Usamos un pequeño conjunto de proveedores de infraestructura y servicios verificados para operar la plataforma. Cada uno recibe únicamente los datos que necesita para hacer su trabajo. Consulta la lista completa de subencargados del tratamiento para saber qué gestiona cada uno y dónde.

Si tu organización necesita un Acuerdo de Tratamiento de Datos firmado para cubrir el RGPD u otras obligaciones, escribe a legal@onthebias.co y nos encargaremos de formalizarlo.

La seguridad nunca está terminada. Estamos trabajando para obtener un informe SOC 2 Type II, pruebas de penetración formales con una cadencia recurrente y un registro de auditoría ampliado disponible para los administradores del espacio de trabajo. Actualizaremos esta página a medida que esos controles entren en vigor.