Tus datos son sensibles. Los tratamos así. ioZen corre sobre infraestructura certificada SOC 2 Type II, con encriptación por campo, aislamiento multi-tenant y controles precisos sobre qué puede ver la IA.
Somos transparentes sobre nuestro camino de cumplimiento. Algunas certificaciones son heredadas de nuestros proveedores de infraestructura; otras están en progreso. Esta página te dice exactamente cuál es cuál.
Última actualización: 27 de abril de 2026
Cuatro principios guían cada decisión que tomamos sobre tus datos.
Construida desde el día uno, no agregada después.
Accede solo a lo necesario, nada más.
Múltiples capas, no puntos únicos de falla.
Te decimos qué hacemos y cómo lo hacemos.
Múltiples capas de protección mantienen tu información segura en cada etapa.
Todo el tráfico usa TLS 1.3.
Encriptación a nivel de disco provista por AWS vía Supabase para todos los datos almacenados.
Los campos marcados como Privado + Encriptado se almacenan en Supabase Vault, separados de la base de datos principal.
Los campos marcados como Privado se almacenan por separado y nunca se envían a modelos de IA ni se incluyen en el contexto de IA.
Los workspaces están aislados mediante políticas de row-level security en Supabase, más verificaciones a nivel de aplicación en cada solicitud.
Aquí está la situación real: qué heredamos de nuestros proveedores, qué está en progreso y qué aún no soportamos.
ioZen corre sobre proveedores certificados SOC 2 Type II (Supabase, Vercel, Cloudflare). ioZen en sí mismo no está certificado SOC 2 aún; una auditoría a nivel de plataforma está en nuestro roadmap.
Seguimos los principios del GDPR (privacidad por diseño, derechos de sujetos de datos, DPA disponible bajo solicitud) y estamos trabajando hacia el cumplimiento total. No estamos certificados aún; publicaremos nuestro DPIA y Registros de Procesamiento conforme avance ese trabajo.
Nuestra arquitectura (campos privados y encriptados) está diseñada para soportar cargas de trabajo HIPAA en el futuro, pero hoy no firmamos BAAs y ioZen no debe usarse para almacenar o procesar PHI. Escríbenos y te avisamos cuando esté listo.
Cumplimos solicitudes de 'No Vender', y soportamos acceso y eliminación de datos. La documentación completa del programa CCPA está en progreso.
¿Tienes requisitos de documentación de cumplimiento? Escribe a security@iozen.ai
Cada capa de nuestro stack usa proveedores con trayectoria comprobada en seguridad.
| Capa | Proveedor | Certificación |
|---|---|---|
| Base de datos | Supabase (PostgreSQL) | SOC 2 Type II |
| Autenticación | Supabase Auth | SOC 2 Type II |
| Almacenamiento | Supabase Storage | SOC 2 Type II |
| Aplicación e IA | Vercel (Hosting, AI Gateway, Blob Storage) | SOC 2 Type II |
| CDN | Cloudflare | SOC 2 Type II, ISO 27001 |
Las versiones de marzo de 2026 y posteriores incluyen los controles siguientes.
Los créditos se reinician por periodo de facturación en una operación atómica. Las peticiones concurrentes no pueden provocar un doble reinicio.
El endpoint público de estado de créditos tiene límite de tasa para reducir scraping automatizado y enumeración.
Las peticiones no autenticadas no reciben conteos exactos de créditos ni detalles completos del plan.
Los IDs se validan con Zod y reglas CUID. La entrada incorrecta se rechaza antes de llegar a la base de datos.
Un envío queda ligado al IntakeBot que lo recibió. Otro bot no puede actualizarlo.
Las respuestas de error de validación no exponen la estructura interna del esquema.
Permissions-Policy y atributos allow en iframes definen cómo funciona la geolocalización en contextos incrustados y de otro origen.
Cómo operamos la plataforma día a día.
Todos los miembros del equipo de ioZen usan SSO con MFA obligatorio. El acceso a producción sigue el principio de mínimo privilegio y queda registrado.
Backups diarios automáticos de la base de datos vía Supabase. Los procedimientos de recuperación se prueban trimestralmente.
Las dependencias se escanean automáticamente y el código se revisa continuamente con IA en busca de vulnerabilidades. Los hallazgos críticos se atienden en días, no semanas.
Una prueba de penetración independiente está planificada para mayo de 2026.
Si un incidente de seguridad afecta datos de clientes, notificamos a los afectados dentro de las 72 horas de la confirmación, según el Artículo 33 del GDPR.
Para cada campo en tu FlowApp, tú decides cómo se almacena y si la IA puede acceder.
Acceso IA
Completo
Almacenamiento
Base de datos normal
Mejor para
La mayoría de campos
Acceso IA
Nunca
Almacenamiento
Tabla separada
Mejor para
PII, info sensible
Acceso IA
Nunca
Almacenamiento
Vault encriptado
Mejor para
NSS, médico, financiero
¿Encontraste un problema de seguridad? Agradecemos la divulgación responsable.
Escribe a security@iozen.ai con los detalles. Confirmamos recepción en 2 días hábiles.
Por favor danos tiempo razonable para remediar antes de divulgación pública. No ofrecemos un bug bounty pagado hoy, pero reconocemos públicamente a los investigadores (con su permiso).
Una política de divulgación legible por máquinas está disponible en /.well-known/security.txt.
Todavía no. Nuestros proveedores de infraestructura (Supabase, Vercel, Cloudflare) están certificados SOC 2 Type II; una auditoría a nivel de plataforma de ioZen está en nuestro roadmap. Compartimos nuestro cuestionario de seguridad bajo solicitud. Escribe a security@iozen.ai.
Hoy no. Nuestra arquitectura está diseñada para soportar cargas de trabajo HIPAA, pero no firmamos BAAs y ioZen no debe usarse para almacenar o procesar PHI. Escríbenos y te avisamos cuando esté disponible.
Los datos se almacenan en la infraestructura de Supabase (AWS, regiones US por defecto). Contáctanos si tienes requerimientos específicos de región.
No. Los campos privados nunca se envían a modelos de IA. Las solicitudes de IA se enrutan a través de Vercel AI Gateway a proveedores como OpenAI, Anthropic, Google y xAI, pero solo para los campos que tú elijas. Tú controlas qué campos usan IA y cuáles permanecen completamente aislados.
Sí. Las solicitudes de eliminación de workspace se completan dentro de los 30 días de recibidas. Contacta a soporte para iniciar el proceso.
No. Nunca. Tus datos son tuyos. Punto.
¿Revisión de seguridad, documentación de cumplimiento o cuestionario? Podemos ayudar.
