QuoteForge se construyó con el principio de que la geometría de tus piezas y los datos de tus clientes son exclusivamente tuyos. Aquí tienes un resumen claro de cómo los protegemos.
Los controles de aplicación y API de QuoteForge están alineados con el OWASP Top 10 y las familias de controles CASA (Cloud Application Security Assessment) Tier 2: seguridad OAuth 2.0, control de acceso, validación de entradas, gestión de secretos y registro de eventos. Actualmente no disponemos de una attestación formal CASA Tier 2; estos controles constituyen nuestra línea de base de seguridad interna.
No usamos tus archivos STEP, presupuestos ni datos de clientes para entrenar modelos de IA o aprendizaje automático — ni los nuestros ni los de terceros.
El motor de precios es completamente determinista: lee la configuración de tu taller (máquinas, materiales, avances y velocidades) y aplica aritmética. No se entrena ningún modelo ni los datos salen de tu tenant en forma agregada.
Para funciones que usan un LLM (como la generación de comentarios DFM), solo se envían metadatos de geometría extraídos — no el binario STEP en bruto — a la llamada de la API LLM. El LLM tiene instrucciones de no registrar ni retener el contenido de las solicitudes.
Cada consulta a la base de datos se restringe automáticamente a tu tenant_id a nivel ORM. No existe ninguna ruta por la que un cliente pueda leer los presupuestos, archivos STEP, configuración del taller ni datos de contacto de otro cliente. El acceso entre tenants es una imposibilidad estructural, no solo una política.
Todo el tráfico entre tu navegador y nuestros servidores está cifrado en tránsito con TLS 1.2+. Las conexiones a sub-servicios (almacenamiento, base de datos, APIs LLM) también son exclusivamente TLS.
Los datos en reposo — archivos STEP, PDFs de presupuestos, registros de clientes — están cifrados en la capa de almacenamiento de Azure (AES-256).
Los datos de pago son gestionados exclusivamente por Stripe. Nunca vemos, almacenamos ni transmitimos números de tarjeta sin procesar. Stripe tiene certificación PCI DSS Nivel 1.
La base de datos de producción se respalda diariamente con un período de retención de 30 días. Las copias de seguridad se almacenan en una región de Azure separada.
Los archivos STEP y los PDFs generados se almacenan en Azure Blob Storage con replicación geo-redundante.
Bajo el RGPD tienes derecho a solicitar la exportación o eliminación de todos los datos asociados a tu cuenta. Envía una solicitud a [email protected] y la procesaremos en 30 días.
Si descubres un problema de seguridad, por favor divúlgalo de forma responsable enviando un correo a [email protected].