Centro de confianza
Seguridad en OLISE
Somos una empresa en camino a SOC 2 construyendo hacia un nivel de cumplimiento empresarial. Esta página documenta lo que está operativo hoy, lo que está en progreso y dónde nos apoyamos en las certificaciones de nuestros proveedores.
Protección de datos
Cifrado en tránsito
Todo el tráfico se cifra con TLS 1.3. Las conexiones que negocian por debajo de TLS 1.2 son rechazadas.
Cifrado en reposo
Los datos en reposo se cifran con AES-256 a través de Supabase (Postgres) y Vercel (almacenamiento y edge). No gestionamos discos físicos.
Almacenamiento de tokens OAuth
Los tokens de acceso y actualización de terceros se cifran con AES-256-GCM antes de escribirse en la base de datos. Postgres nunca almacena tokens en texto plano.
Infraestructura
OLISE opera completamente sobre infraestructura administrada por proveedores. No operamos servidores físicos ni centros de datos propios.
| Proveedor | Función | Certificación |
|---|---|---|
| Vercel | Hosting, red edge, CI/CD | SOC 2 Type II, ISO 27001 |
| Supabase | Base de datos (Postgres), autenticación, almacenamiento | SOC 2 Type II |
| Stripe | Procesamiento de pagos | PCI DSS Level 1 |
| Twilio | Telefonía (llamadas entrantes y salientes, SMS) | ISO 27001, SOC 2 Type II, apto para HIPAA |
| Anthropic | Modelo de lenguaje (IA de llamadas) | SOC 2 Type II |
| ElevenLabs | Síntesis de voz texto a audio | SOC 2 Type II |
Estado de cumplimiento
Estamos trabajando hacia la certificación SOC 2 Type II. El objetivo es estar listos para auditoría en Q3 2026. No contamos con un reporte SOC 2 en este momento.
Un Business Associate Agreement (BAA) está disponible para clientes en el tier Enterprise. Las cuentas en los tiers Standard y Growth no están cubiertas por un BAA.
Un Data Processing Agreement (DPA) está disponible para cualquier cliente que lo solicite. Actuamos como procesador de datos para la información personal que ingresa a través de OLISE.
OLISE no almacena, procesa ni transmite datos de tarjetas de pago. El procesamiento de pagos es manejado exclusivamente por Stripe, proveedor certificado PCI DSS Level 1. OLISE no cuenta con certificación PCI propia.
Subprocesadores
Los siguientes servicios de terceros pueden procesar datos personales en nombre de los clientes de OLISE.
| Proveedor | Finalidad | Ubicación de datos |
|---|---|---|
| Vercel | Hosting de la aplicación y distribución edge | Estados Unidos, UE |
| Supabase | Base de datos, autenticación, almacenamiento de archivos | Estados Unidos |
| Stripe | Procesamiento de pagos y facturación | Estados Unidos |
| Twilio | Llamadas de voz y SMS | Estados Unidos |
| Anthropic | Modelo de IA para gestión de llamadas | Estados Unidos |
| ElevenLabs | Síntesis de voz texto a audio | Estados Unidos |
Respuesta a incidentes
Notificación a clientes
Los incidentes de seguridad confirmados que afecten datos de clientes se notifican a los afectados dentro de las 72 horas posteriores a la detección, conforme al Artículo 33 del GDPR.
Alcance
Este compromiso aplica a incidentes dentro de los sistemas controlados por OLISE. Los incidentes originados en nuestros proveedores están sujetos a sus propias políticas de notificación.
Contacto de seguridad
Para reportar una vulnerabilidad o hacer una consulta de seguridad, escríbenos a support@olise.ai.
No publicamos una clave PGP en este momento. Respondemos todas las consultas de seguridad dentro de 2 días hábiles.