TRUEINGS

Seguridad y cumplimiento

Dónde residen los datos, y lo que no hacen.

Redactado para compras, seguridad informática y revisores legales. Sin envoltorio de marketing, solo hechos tal como están hoy, incluidas las cosas que aún no afirmamos.

URL reenviable. Si su equipo de seguridad necesita un cuestionario de proveedor o un DPA firmado por ambas partes, véase Contacto al final.

Una pequeña torre de piedra con una única puerta iluminada con luz cálida, al amanecer en un prado tranquilo: protección por diseño en lugar de por la fuerza.

Subencargados del tratamiento

Dónde se tratan sus datos.

La lista completa de terceros que tocan datos de sujetos o de personas que responden, con región y base de transferencia. Anthropic está en Estados Unidos y está cubierto por Cláusulas Contractuales Tipo; todo lo demás está en la UE.

ServicioFinalidadRegiónBase de transferencia
Supabase
supabase.com/security
Postgres gestionado (datos de sujetos y de personas que responden, con RLS aplicada), autenticación sin contraseña.UEDentro de la UE.
Anthropic
trust.anthropic.com
Inferencia de LLM para el Diseñador de Criterios, el Entrevistador y el Sintetizador.Estados UnidosUE → EE. UU. bajo Cláusulas Contractuales Tipo, DPA de Anthropic firmado. Solo la API de Mensajes, sin Batch, Files ni Memory de servidor.
Resend
resend.com/legal/security
Correo transaccional (acceso por enlace mágico, invitaciones a personas que responden, recordatorios).UEDentro de la UE.
Stripe
stripe.com/privacy
Procesamiento de pagos para los planes de 50 $ por única vez y 100 $/año y los grupos de licencias para equipos.Estados Unidos (infraestructura global de Stripe)UE → EE. UU. bajo Cláusulas Contractuales Tipo. Stripe recopila los datos de la tarjeta directamente; Trueings nunca ve ni almacena los datos de la tarjeta.
PostHog
posthog.com/handbook/company/security
Analítica de producto (solo recuentos de eventos: sin cookies, sin grabación de sesiones, sin captura automática, sin perfil por persona).UE (eu.i.posthog.com)Dentro de la UE.

Alojamiento: la propia aplicación se ejecuta en infraestructura serverless gestionada (Vercel). No se almacena contenido de comentarios de clientes en los registros de la aplicación; el almacén canónico es Supabase.

Conservación

Qué conservamos, durante cuánto tiempo, y lo que no.

Las transcripciones en bruto se eliminan mediante una tarea programada de la base de datos 30 días después de la síntesis de cada campaña. La tarea se ejecuta a diario y es auditable. Tras ejecutarse, la campaña no puede volver a sintetizarse; solo permanece el informe anonimizado.

  • Transcripciones en bruto de quienes responden

    30 días después de que se finaliza la síntesis de una campaña

    Purgadas a diario por una tarea programada de la base de datos. Tras la purga, la campaña no puede volver a sintetizarse; solo permanece el informe anonimizado.

  • Informe sintetizado (temas, mapa de Johari, plan de desarrollo)

    Vida de la cuenta del sujeto

    Depurado de identificadores por el paso obligatorio del Guardián de Confidencialidad. El sujeto puede exportarlo o eliminarlo en cualquier momento.

  • Registros de cuenta, consentimiento y facturación

    Vida de la cuenta + el periodo exigido por la legislación fiscal y de consumo de la UE

    Vinculados al sujeto; eliminados al suprimir la cuenta, sin perjuicio de la conservación legal.

  • Registros operativos agregados (sin contenido de quienes responden)

    Hasta 90 días

    Utilizados para la respuesta ante incidentes y la detección de abusos. Sin respuestas de quienes responden; sin contenido de comentarios.

La confidencialidad es arquitectónica

Aplicada en el código, no mediante políticas.

El producto no puede filtrar comentarios a la parte equivocada porque la parte equivocada no está en la ruta de datos. Estas son garantías estructurales, no compromisos.

  • Seguridad a nivel de fila en cada tabla sensible. Denegación por defecto, políticas restrictivas; la propia base de datos rechaza las lecturas entre cuentas.
  • El Sintetizador nunca ve la identidad de quien responde. Recibe únicamente texto de pruebas (sin nombres, sin direcciones de correo, sin vínculo con quién dijo qué), de modo que ni siquiera una instrucción arbitraria puede extraer lo que no está en su contexto.
  • Un Guardián de Confidencialidad determinista se ejecuta antes de que el sujeto vea nada. Aplica el umbral mínimo de personas que responden, la reducción de detalle del acceso limitado y una depuración final de identificadores. No es un juicio de un LLM.
  • Para equipos: el portal de la empresa es ciego al contenido por diseño. Solo expone el recuento de canjes y la tasa de finalización, nunca la identidad, el contenido ni los temas.

Autenticación y acceso

Sin contraseña, con alcance limitado, auditado.

  • Sujetos inician sesión mediante enlaces mágicos de un solo uso a un correo verificado. No se almacenan ni aceptan contraseñas. La emisión de enlaces mágicos tiene límite de frecuencia y falla en silencio ante sondeos de enumeración.
  • Personas que responden no tienen cuentas. Cada invitación es un JWT firmado, con alcance de audiencia y de un solo uso, vinculado a una respuesta concreta; el algoritmo está fijado y los tokens se invalidan al enviar.
  • Administradores de empresa se autentican de la misma forma que los sujetos, mediante un enlace mágico a un correo verificado, en un portal separado y ciego al contenido.
  • Acceso de operadores se limita a un pequeño número de empleados nombrados a través de una superficie de administración protegida por entorno. El personal no accede al contenido de los comentarios en el curso normal de las operaciones; el acceso a la base de datos queda registrado.

Cifrado y transporte

Estándar, de extremo a extremo.

  • En tránsito: TLS 1.2+ para cada conexión: navegador ↔ aplicación, y aplicación ↔ cada subencargado del tratamiento.
  • En reposo: el cifrado lo proporciona cada subencargado del tratamiento (enlazado en la tabla de arriba): Postgres gestionado por Supabase, entorno de ejecución gestionado por Vercel, Resend, Stripe, PostHog.
  • Datos de tarjeta: gestionados por Stripe directamente mediante Checkout. Trueings nunca ve ni almacena números de tarjeta.
  • Secretos: los secretos de la aplicación residen en el almacén de variables de entorno cifrado de la plataforma; la clave de base de datos de rol de servicio nunca llega al navegador.

Lo que no afirmamos

Las cosas que preferimos que lea aquí a que no lea en absoluto.

Lo contrario de una página de seguridad de marketing. Si un control o una certificación no aparece abajo, asuma que aún no lo tenemos. Si es importante para su revisión, díganoslo y le diremos cuál es el plan.

Sin SOC 2

No hemos completado una auditoría SOC 2. El Tipo I está previsto para la fase B2B2C de mercado medio; publicaremos el informe cuando esté listo y no antes.

Sin ISO 27001

No se persigue para la beta. Lo reconsideraremos cuando la demanda de los compradores lo haga relevante.

Sin EIPD formal archivada

Una Evaluación de Impacto relativa a la Protección de Datos se reserva para la expansión sanitaria. El producto actual es RGPD por diseño (confidencialidad aplicada estructuralmente, no mediante políticas) y así se documenta en el Aviso de privacidad y el DPA.

Aún sin CAPTCHA antibot en el formulario de inicio de sesión

El acceso por enlace mágico tiene límite de frecuencia y falla en silencio ante intentos de enumeración; un CAPTCHA está en la hoja de ruta.

Retención Cero de Datos de Anthropic: solicitada, verificación pendiente

Nuestra organización de Anthropic está en el nivel Comercial y hemos solicitado la ZDR. El Aviso de privacidad y el DPA se actualizarán, y los sujetos existentes volverán a dar su consentimiento, en cuanto se confirme la cobertura de ZDR.

Revisión de seguridad independiente

Revisado a nivel de código antes del lanzamiento.

La base de código se sometió a una revisión de seguridad a nivel de código el 19-05-2026. No se identificaron hallazgos críticos. Todos los elementos de gravedad alta y media planteados por la revisión se han remediado, con una excepción que se documenta y se acepta como un residuo monitorizable en lugar de prevenido (un caso límite de identidad falsa contra el mínimo de anonimato).

La revisión se centró en la autenticación, el motor de entrevistas, el Guardián de Confidencialidad, la facturación y las superficies propensas a abusos. Podemos compartir el alcance y el resumen de remediación a petición, como parte de un cuestionario de proveedor.

Notificación de brechas

72 horas, por escrito, con lo que sabemos y lo que estamos haciendo.

Si tenemos conocimiento de una brecha de datos personales que afecte a datos de sujetos o de personas que responden, lo notificaremos al responsable correspondiente sin dilación indebida y dentro de las 72 horas cuando la brecha pueda suponer un riesgo para los interesados, conforme al artículo 33 del RGPD. Los compromisos procedimentales figuran en el Acuerdo de Tratamiento de Datos.

Documentos legales

El contrato y las divulgaciones, en un solo lugar.

Aviso de privacidad

Qué tratamos, por qué, durante cuánto tiempo y sus derechos, para sujetos y personas que responden.

Términos del servicio

El contrato para los sujetos que utilizan Trueings directamente.

Acuerdo Maestro de Suscripción

El contrato para las empresas que compran un grupo de licencias para su personal.

Acuerdo de Tratamiento de Datos

Roles, subencargados del tratamiento, conservación, transferencias, medidas de seguridad, notificación de brechas.

Contacto

Para su equipo de seguridad.

Para un cuestionario de proveedor, un DPA firmado por ambas partes, una suscripción a notificaciones de cambio de subencargados del tratamiento o cualquier pregunta que esta página deje abierta, escriba a teams@trueings.com. Respondemos en un plazo de dos días hábiles.

Para solicitudes de interesados (acceso, supresión, portabilidad), los sujetos usan los controles de privacidad dentro del producto; las personas que responden y los terceros pueden escribir a privacy@trueings.com.