Diseñado para la Sala Donde su CISO Hace las Preguntas Difíciles.

La seguridad no es una casilla que marcamos después de la demo. Nuestra postura de cumplimiento está documentada, auditada de forma independiente y disponible para su equipo legal y de seguridad antes de que necesiten pedirla.

Certificaciones de Cumplimiento

Seguridad de la Infraestructura

Alojamiento y Residencia de Datos

• Toda la infraestructura de agentes se ejecuta en sus propias cuentas en la nube (AWS, GCP o Azure), no en servidores de The Extreme AI.
• En implementaciones autoalojadas, cero datos del cliente transitan por la infraestructura de The Extreme AI.
• Aislamiento regional: clientes de la UE en infraestructura de EU-West, clientes de EE. UU. en US-East o US-West. La residencia de datos se documenta en cada Orden de Trabajo.
• Opción de alojamiento gestionado disponible con aislamiento de inquilino dedicado (sin cómputo ni almacenamiento compartidos).

Cifrado

• En reposo: cifrado AES-256 sobre todos los datos almacenados, incluidos registros de bases de datos, embeddings vectoriales y archivos adjuntos.
• En tránsito: TLS 1.3 obligatorio en todos los endpoints de API y comunicación de agentes. Las versiones más antiguas de TLS se rechazan.
• Gestión de claves: las claves de cifrado se gestionan mediante AWS KMS o GCP Cloud KMS. Claves gestionadas por el cliente (BYOK) disponibles en el nivel Enterprise.
• Secretos: las claves de API y credenciales se almacenan en Vault o gestores de secretos nativos de la nube. Nunca en variables de entorno ni en el código fuente.

Seguridad de Red

• Aislamiento de VPC para todas las cargas de trabajo de agentes. Subredes privadas sin ingreso desde Internet público de forma predeterminada.
• Firewall de Aplicaciones Web (WAF) en todos los endpoints externos. Protección DDoS mediante servicios de escudo del proveedor de la nube.
• Listas de IP permitidas disponibles para todas las API y paneles de cara al cliente.
• Filtrado de egreso: los agentes solo pueden alcanzar endpoints externos preaprobados definidos en el alcance del compromiso.

Seguridad en Tiempo de Ejecución de los Agentes

Controles de Acceso

• Motor de políticas por rol, por fuente y por acción. Los agentes tienen los permisos mínimos necesarios para su tarea, nunca acceso a la cuenta completa.
• OAuth 2.0 y credenciales de API con alcance acotado para cada integración de terceros. Rotación de tokens obligatoria cada 90 días.
• Controles con humano en el bucle: cualquier clase de acción puede configurarse para requerir aprobación humana antes de su ejecución.
• Modo de simulación (dry-run): todos los agentes pueden ejecutarse en simulación de solo lectura antes de la implementación en producción.

Registro de Auditoría

• Cada acción de un agente —llamadas a herramientas, recuperaciones de datos, solicitudes a API externas, salidas— se registra con contexto completo.
• Los registros están encadenados mediante hash y son a prueba de manipulaciones. La integridad de los registros puede verificarse de forma independiente.
• Retención de registros: 90 días de forma predeterminada, configurable hasta 7 años para industrias reguladas.
• Registros exportados a su SIEM (Splunk, Datadog, CloudWatch) en tiempo real si se requiere.

Manejo de Datos en los Agentes

• La PII se identifica y enmascara automáticamente en los registros de los agentes mediante reconocimiento de patrones y clasificación con PLN.
• Los agentes no retienen datos entre sesiones a menos que se configure explícitamente para un caso de uso específico.
• Los proveedores de modelos de IA (Anthropic, OpenAI) están configurados con retención cero de datos en la inferencia: sus datos no se utilizan para entrenar modelos fundacionales.
• Minimización de datos: los agentes acceden únicamente a los registros necesarios para la tarea dentro del alcance, mediante filtrado a nivel de consulta.

Seguridad Organizativa

Acceso de Empleados

• Ningún empleado de The Extreme AI tiene acceso permanente a los sistemas o datos del cliente. Todo acceso es temporal, acotado y requiere autorización iniciada por el cliente.
• Autenticación multifactor obligatoria para todos los sistemas internos y para cualquier acceso al entorno del cliente.
• Verificación de antecedentes completada para todos los ingenieros antes de otorgar acceso al cliente.
• Capacitación anual de seguridad obligatoria para todo el personal. Simulaciones de phishing realizadas trimestralmente.

Gestión de Proveedores

• Todos los subencargados se evalúan frente a nuestros requisitos de seguridad antes de su contratación.
• Los contratos con proveedores incluyen obligaciones de procesamiento de datos coherentes con esta política.
• La lista de subencargados se mantiene y actualiza. Los clientes son notificados de nuevos subencargados con 30 días de antelación.

Pruebas de Penetración

• Pruebas de penetración anuales realizadas por firmas de seguridad externas independientes.
• Hallazgos críticos remediados dentro de las 48 horas. Hallazgos altos dentro de los 14 días.
• Resúmenes ejecutivos de las pruebas de penetración disponibles para los clientes bajo NDA.
• Los clientes pueden realizar sus propias pruebas de penetración de la infraestructura de agentes implementada con 14 días de antelación.

Respuesta a Incidentes

Mantenemos un programa dedicado de respuesta a incidentes de seguridad con niveles de severidad y SLA de respuesta definidos:

• P0 (Crítico): violación activa o pérdida de datos — respuesta en 15 minutos, notificación al cliente en 1 hora.
• P1 (Alto): exposición potencial o degradación del servicio — respuesta en 1 hora, notificación al cliente en 4 horas.
• P2 (Medio): actividad anómala — respuesta en 4 horas, actualización de estado en 24 horas.
• Análisis post mortem completos publicados dentro de las 72 horas posteriores a la resolución para incidentes P0/P1.
• Los incidentes que afecten a datos personales se notifican a las autoridades pertinentes dentro de las 72 horas, según lo exige el GDPR.

Estado en vivo y registro histórico de incidentes: status.theextremeai.com

Divulgación de Vulnerabilidades

Mantenemos un programa de divulgación responsable. Si descubre una vulnerabilidad de seguridad, repórtela a info@theextremeai.com. Acusaremos recibo dentro de las 24 horas, investigaremos y le mantendremos informado de nuestro cronograma de remediación. No emprendemos acciones legales contra investigadores que actúen de buena fe.