← Volver a ercel.ai

Seguridad y Protección de Datos

Cómo Ercel Security protege tu información y nuestra infraestructura.

Estándares de seguridad

RGPD
EU Data Residency
TLS 1.3
AES-256

Residencia de Datos en la UE

Toda la infraestructura de Ercel Security reside dentro de la Unión Europea. Los resultados de los escaneos se procesan mediante Anthropic API (EE.UU.) para el enriquecimiento de hallazgos, al amparo del EU-US Data Privacy Framework (ver política de privacidad).

Hetzner

Servidores de aplicación en Alemania

Falkenstein, Alemania

Supabase

Base de datos PostgreSQL en región EU

EU region

Cloudflare

CDN y WAF con endpoints europeos

EU endpoints

Resend

Procesamiento de email transaccional en EU

EU processing

Cifrado e Infraestructura

Cifrado

  • TLS 1.3 para todas las conexiones en tránsito
  • AES-256 en reposo (Supabase / PostgreSQL)
  • Sin almacenamiento en texto plano de datos sensibles
  • Pagos vía Stripe (PCI DSS Level 1) — ningún dato de tarjeta toca nuestros sistemas

Infraestructura

  • Proceso aislado con límites de recursos
  • Firewall con reverse proxy (Caddy) — tráfico directo bloqueado
  • Health checks automáticos y monitorización
  • Protección SSRF: bloquea localhost, IPs privadas y endpoints de metadatos
  • Graceful shutdown para cero pérdida de datos

Metodología Black-Box (evaluación externa)

Evaluamos tu sistema de IA desde fuera, sin acceso a sistemas internos. Los resultados del escaneo se procesan mediante Anthropic API para enriquecer los hallazgos con contexto regulatorio (detalle completo en nuestra política de privacidad).

  • Solo interactuamos con endpoints públicamente accesibles del sistema
  • Interacciones solo texto vía la interfaz pública
  • Sin acceso a código fuente, bases de datos ni infraestructura
  • Equivalente a lo que vería un atacante real o un inspector regulador

Protección de Datos (RGPD)

Seguimos políticas estrictas de minimización y retención de datos, conformes con el Reglamento General de Protección de Datos.

  • Datos de evaluación eliminados automáticamente a los 90 días
  • Solicitud de eliminación inmediata vía [email protected]
  • Anonimización de datos de prospects tras el periodo de retención
  • Sin cookies de tracking — solo Plausible Analytics (privacy-first, sin cookies)

Tus derechos

De acuerdo con el RGPD, tienes derecho a:

  • Acceso a tus datos personales
  • Rectificación de datos inexactos
  • Supresión de tus datos
  • Portabilidad de datos
  • Oposición al tratamiento
  • Limitación del tratamiento

Contacto: [email protected]. Autoridad de control: Agencia Española de Protección de Datos (AEPD).

Divulgación Responsable

Nos tomamos en serio las vulnerabilidades de seguridad. Si descubres una vulnerabilidad en nuestros sistemas, agradecemos la divulgación responsable.

  • Contacto: [email protected]
  • Acuse de recibo en 48 horas
  • Evaluación inicial en 5 días hábiles
  • No tomaremos acciones legales contra investigadores de buena fe
  • Consulta /.well-known/security.txt para la política de divulgación en formato legible por máquinas

Última actualización: marzo 2026. Consultas de seguridad: [email protected]