Declaración de Seguridad
AENVO (Portugal)
Última actualización: 12/12/2025
1 Objetivo y alcance
Esta Declaración describe los controles de seguridad de Aenvo Natural Interaction Lda., aplicables al sitio web, las aplicaciones, las APIs y los modelos de IA ("Servicios"). El objetivo es proteger la confidencialidad, la integridad y la disponibilidad de los datos y sistemas, de conformidad con el RGPD y las mejores prácticas del sector.
2 Principios de seguridad
Adoptamos un enfoque de defensa en profundidad, guiado por los principios de privacidad desde el diseño (Privacy by Design), seguridad desde el diseño (Security by Design), minimización de datos, principio de mínimo privilegio y estricta separación de entornos (desarrollo, pruebas y producción).
3 Gestión de accesos e identidad
Implementamos Control de Acceso Basado en Roles (RBAC) para garantizar que los empleados y sistemas tengan acceso solo a la información necesaria. La autenticación multifactor (MFA) es obligatoria para todas las cuentas administrativas. Realizamos una gestión rigurosa de tokens y claves, con revisión periódica de permisos y segregación de funciones críticas.
4 Cifrado
Todos los datos están protegidos por cifrado fuerte. En tránsito, utilizamos TLS 1.2 o superior. En reposo, los datos se cifran utilizando el estándar AES-256. La gestión de claves incluye rotación regular y el almacenamiento seguro de secretos en bóvedas digitales (vaults).
5 Seguridad de red
Nuestra infraestructura utiliza segmentación de red y listas de control de acceso rigurosas. Implementamos firewalls de próxima generación, Web Application Firewalls (WAF) y protección contra ataques DDoS (DDoS mitigation). Cuando corresponde para clientes Enterprise, soportamos integración con redes privadas (VPC peering) y reglas de restricción de IP.
6 Registros, auditoría y monitorización
Mantenemos registros (logs) detallados de seguridad y aplicación para auditoría y resolución de problemas, con una retención operativa típica de hasta 30 días. Utilizamos sistemas de Detección de Intrusiones y SIEM para análisis en tiempo real. Se activan alertas automáticas y playbooks de respuesta en caso de anomalías.
7 Gestión de vulnerabilidades y pruebas
Realizamos escaneos de vulnerabilidades semanales y aplicamos correcciones y parches de forma continua. Las pruebas de intrusión (Pentests) son realizadas regularmente por entidades terceras independientes. Mantenemos un programa de divulgación responsable de vulnerabilidades.
8 Ciclo de desarrollo de software seguro (SSDLC)
La seguridad es parte integral de nuestro ciclo de desarrollo. Realizamos revisiones de arquitectura, modelado de amenazas (threat modeling), QA de seguridad y revisión de código por pares. Todas las dependencias de software son monitorizadas automáticamente, y mantenemos una política estricta de versiones y rollback.
9 Seguridad específica de IA
Dada la naturaleza de nuestros servicios de IA Conversacional, implementamos medidas adicionales:
- Segregación de Datos: Aislamiento lógico estricto entre datos de diferentes clientes y datasets de entrenamiento.
- Control de Entrenamiento: Opciones claras de "opt-out/opt-in" para el uso de datos en el refinamiento de modelos.
- Protección del Modelo: Mitigación contra "prompt injection" y filtros de contenido para prevenir salidas tóxicas o inseguras.
- Anti-Spoofing de Voz: Mecanismos de detección de prueba de vida para prevenir fraudes en autenticación biométrica por voz.
- Sanitización de Datos (PII): Capacidad de redactar o enmascarar automáticamente datos sensibles antes del procesamiento por los LLMs.
- Monitorización: Seguimiento continuo de "drift" y calidad del modelo.
10 Gestión de incidentes
Contamos con un proceso formal de respuesta a incidentes con clasificación de severidad y tiempos objetivo definidos para contención y remediación. Nos comprometemos a comunicar a los clientes y a las autoridades competentes (CNPD) en caso de violación de datos, según lo exigido por la ley. Después de cada incidente, realizamos análisis post-mortem para implementar acciones correctivas.
11 Continuidad de negocio y recuperación (BCP/DR)
Garantizamos la resiliencia de los servicios mediante copias de seguridad cifradas y pruebas de restauración periódicas. Tenemos definidos objetivos de tiempo de recuperación (RTO) y punto de recuperación (RPO). Realizamos ejercicios de escenarios de fallo y utilizamos redundancia geográfica para mitigar interrupciones.
12 Subencargados e infraestructura física
Establecemos asociaciones solo con proveedores de infraestructura (como Google Cloud y AWS) que mantienen certificaciones de seguridad de primer nivel (p. ej., SOC 2, ISO 27001) y garantizan una seguridad física rigurosa de los centros de datos. Todos los subprocesadores están sujetos a Acuerdos de Procesamiento de Datos (DPA) y evaluaciones de riesgo.
13 Formación y concienciación
Todos los empleados de AENVO realizan formación anual obligatoria en seguridad y privacidad. Llevamos a cabo simulaciones de phishing y mantenemos políticas internas de uso aceptable para garantizar una cultura de seguridad proactiva.
14 Contacto de seguridad
Para reportar vulnerabilidades, incidentes o cuestiones de seguridad, contacte a security@aenvo.ai. Para dudas sobre privacidad de datos, utilice privacy@aenvo.ai.