ProyectaSecurity

Security

Last Updated: May 21, 2026

Traducido para su conveniencia. En caso de cualquier conflicto entre esta versión y la versión en inglés, prevalecerá la versión en inglés.

Proyecta es una plataforma donde su código fuente, indicaciones (prompts) y datos de proyecto fluyen a través de sistemas de IA y entornos de ejecución aislados. Proteger esos datos es fundamental en la forma en que construimos los Servicios. Esta página resume nuestras prácticas de seguridad en lenguaje sencillo; complementa nuestra Política de Privacidad, Términos de Servicio y la lista de Subprocesadores.

Para preguntas de seguridad, revisiones de seguridad empresarial o para reportar una vulnerabilidad, contacte a security@proyecta.dev.

1. Infraestructura y Alojamiento

Los Servicios se ejecutan en Google Cloud Platform, una infraestructura nativa de Kubernetes operada en regiones cloud establecidas. Un balanceador de carga de Capa 7 gestionado por Google con Google Cloud Armor se sitúa frente a nuestros endpoints públicos, proporcionando protección contra DDoS, firewall de aplicaciones web y limitación de tasa; los activos estáticos se sirven a través de Google Cloud CDN. Cloudflare proporciona DNS autoritativo y validación de certificados TLS, así como la entrega en el borde (edge) para las aplicaciones publicadas por los usuarios (*.proyecta.live).

No operamos nuestros propios centros de datos. Nuestros proveedores cloud mantienen sus propias certificaciones independientes de seguridad de infraestructura, y una lista actualizada de los proveedores que tratan datos en nuestro nombre está publicada en nuestra página de Subprocesadores.

2. Cifrado

  • En tránsito: Todo el tráfico entre usted y los Servicios está cifrado utilizando TLS 1.2 o superior.
  • En reposo: El Contenido del cliente, los datos de cuenta y las copias de seguridad están cifrados en reposo.
  • Secretos: Las credenciales y los tokens de integración se almacenan cifrados y nunca se exponen en código del lado del cliente ni en registros.

3. Controles de Acceso

  • Control de acceso basado en roles. El acceso a sistemas de producción y datos de clientes está restringido al personal autorizado de Proyecta sobre la base del mínimo privilegio.
  • Registro de auditoría. Las acciones administrativas y de acceso a datos se registran para garantizar la rendición de cuentas.
  • Credenciales con alcance limitado. Las credenciales de servicio e integración se limitan a los permisos mínimos necesarios para su función.
  • Obligaciones de confidencialidad. El personal con acceso al Contenido está sujeto a obligaciones de confidencialidad y recibe formación en seguridad.

Como se describe en nuestra Política de Privacidad, el personal autorizado accede al Contenido únicamente cuando es necesario para prestar soporte, depurar incidencias, mantener la fiabilidad o cumplir con obligaciones legales.

4. Manejo de Su Código y Datos de IA

Esta es la pregunta que más importa a la mayoría de los clientes, así que la respondemos sin rodeos:

  • No entrenamos modelos de IA con su Contenido. No utilizamos su código, indicaciones ni datos para entrenar o ajustar nuestros modelos de IA, y no enviamos su Contenido a los proveedores de IA con el fin de entrenar sus modelos.
  • El Contenido se procesa para servirle, no para ser explotado. Su Contenido se procesa únicamente para entregar respuestas dentro de sus propias sesiones.
  • Los proveedores de IA de terceros procesan las entradas de forma transitoria. Para generar respuestas, las entradas se envían a proveedores de modelos de IA (Anthropic y Google) a través de sus API. Utilizamos niveles de API que, conforme a los términos de API vigentes de esos proveedores, no se utilizan para entrenar sus modelos con las entradas de los clientes. No controlamos a estos proveedores, y su manejo de datos se rige por sus propios términos, que usted debería revisar de forma independiente (consulte los Términos §10.2).
  • Únicamente analítica agregada. Cualquier analítica que derivemos para mejorar los Servicios utiliza datos agregados y desidentificados que no pueden utilizarse para identificarle ni para reconstruir su Contenido.

5. Aislamiento del Tiempo de Ejecución

El código generado y ejecutado por los Servicios se ejecuta dentro de entornos de tiempo de ejecución aislados — pods de Kubernetes dedicados y en entornos aislados (sandbox), aprovisionados por carga de trabajo. Los tiempos de ejecución están aislados entre sí y se desmantelan según su calendario de ciclo de vida, limitando el radio de impacto de cualquier ejecución individual.

6. Gestión de Vulnerabilidades

  • Realizamos evaluaciones periódicas de vulnerabilidades y pruebas de seguridad de los Servicios.
  • Monitoreamos nuestras dependencias de software en busca de vulnerabilidades conocidas y aplicamos actualizaciones priorizadas según el riesgo.
  • Divulgación responsable. Si cree haber encontrado una vulnerabilidad de seguridad, repórtela a security@proyecta.dev. Acusaremos recibo de su informe, investigaremos con prontitud y le mantendremos informado. Le rogamos que nos conceda un plazo razonable para remediarla antes de cualquier divulgación pública.

7. Retención y Eliminación de Datos

Retenemos la información sólo durante el tiempo necesario para prestar los Servicios y cumplir con obligaciones legales. El historial de conversaciones, incluidas las indicaciones y los resultados generados, se conserva hasta que usted lo elimine o cancele su cuenta. Tras la cancelación de la cuenta, dispone de un plazo de 30 días para exportar sus datos, después del cual se eliminan de acuerdo con nuestro calendario de retención. Encontrará todos los detalles en la Política de Privacidad §4.

8. Respuesta a Incidentes

Mantenemos un proceso de respuesta a incidentes para eventos de seguridad. En caso de una violación que involucre sus datos personales, notificaremos a los clientes afectados dentro de las 72 horas posteriores al descubrimiento cuando sea factible, o antes cuando la ley aplicable así lo requiera, incluyendo la naturaleza del incidente, los datos afectados y las acciones recomendadas.

9. Subprocesadores

Utilizamos un conjunto de proveedores de servicios de terceros cuidadosamente seleccionado para operar los Servicios. Cada uno está contractualmente obligado a proteger los datos que trata en nuestro nombre. La lista completa y actualizada — incluyendo el propósito de cada proveedor, los datos que trata y su ubicación — está publicada en nuestra página de Subprocesadores, que describe cómo notificamos los cambios.

10. Cumplimiento y Revisiones de Seguridad

  • Acuerdo de Tratamiento de Datos. Los clientes que actúan como responsables del tratamiento pueden solicitar un DPA que complemente nuestra Política de Privacidad con compromisos adicionales de protección de datos. Contacte a legal@proyecta.dev.
  • Cuestionarios de seguridad. Con gusto completamos cuestionarios de seguridad de proveedores y apoyamos las revisiones de seguridad empresarial — contacte a security@proyecta.dev.
  • Transparencia de subprocesadores. Nuestra lista de subprocesadores es pública y se mantiene actualizada.

A medida que Proyecta crece, continuamos ampliando nuestro programa formal de seguridad y cumplimiento. Para conocer el estado actual de cualquier certificación o atestación específica, póngase en contacto con nosotros y le indicaremos en qué punto nos encontramos.

11. Contacto

Related Documents

Questions?

Contact Legal

Reach us at legal@proyecta.dev for any inquiries.