Política de seguridad

La prioridad principal de Performy es la seguridad de los datos de los clientes. Este documento detalla nuestras prácticas para asegurar la Confidencialidad, Integridad y Disponibilidad de la información.

1. Infraestructura y certificaciones

Toda la infraestructura de Performy está alojada en Amazon Web Services (AWS), que mantiene las principales certificaciones de seguridad (SOC 1/2/3, ISO 27001, ISO 27018) sobre la infraestructura cloud subyacente. Performy se apoya en esa infraestructura certificada y sigue prácticas de seguridad estándar del sector. Los pagos los gestiona externamente Stripe (conforme a PCI-DSS); Performy no almacena datos de tarjetas.

2. Almacenamiento y hosting (Irlanda)

• •Ubicación de Datos: Para asegurar el cumplimiento regulatorio y la soberanía de datos, nuestra base de datos principal reside en la Región UE (Irlanda, eu-west-1).
• •Resiliencia: Realizamos copias de seguridad automáticas de la base de datos con un período de retención de 14 días, complementadas con snapshots manuales bajo demanda, todo cifrado en eu-west-1. El contenido del cliente eliminado al cierre de la cuenta se borra de forma permanente, y cualquier copia residual desaparece dentro de la ventana de retención de 14 días (en un máximo de 44 días).

3. Cifrado y conectividad

• •En Tránsito: Todos los datos se cifran utilizando mecanismos RSA / SHA-256.
• •Protocolos Seguros: Los endpoints de API son accesibles exclusivamente vía TLS/SSL.
• •Certificados: Certificados TLS gestionados con AWS Certificate Manager (ACM), con renovación automática (TLS 1.2/1.3).

4. Monitoreo y autenticación

• •Monitoreo Activo: Amazon CloudWatch para la salud de la infraestructura y monitoreo en tiempo real, con alarmas automáticas.
• •Control de Acceso: El acceso a los datos de clientes está restringido a personal autorizado mediante niveles de permisos granulares y de mínimo privilegio. El acceso administrativo a nuestra infraestructura cloud está protegido con Autenticación Multifactor (MFA).
• •Confidencialidad: Todos los empleados firman estrictos Acuerdos de Confidencialidad (NDA).
• •Disponibilidad: La disponibilidad del servicio se monitorea de forma continua con alarmas automáticas de CloudWatch y procedimientos de recuperación documentados.

5. Bring Your Own Key (BYOK)

Para clientes con requisitos elevados de privacidad, Performy puede operar con tus propias credenciales de IA (OpenAI o Google Gemini).

• •Tu proveedor, tu modelo: cuando activas BYOK, todos los análisis de IA se autentican con tu cuenta, de modo que el contenido de tus llamadas no transita por las credenciales de IA de Performy. Tú eliges el proveedor y el modelo.
• •Credenciales cifradas: tu API Key se almacena cifrada (Fernet) y nunca es accesible en texto plano.
• •Nota: los planes demo y gratuitos usan la key de IA de Performy por diseño. Como Whisper es exclusivo de OpenAI, la transcripción de una cuenta solo-Gemini usa la key de Performy.