Confianza y seguridad.

Página pública de transparencia sobre la infraestructura, la conformidad y los compromisos RGPD de Orkelia. Actualizada el 18 de mayo de 2026.

Stack y alojamiento

ComponenteProveedorRegión / certificación
Base de datosSupabaseAWS eu-west-3 París (infraestructura)
Front + Edge runtimeVercelFráncfort / París (proxy CDN), código bajo physiopros-projects
Email transaccionalResendRegión UE, DPA Resend público
LLM agente (texto largo)Anthropic Claude Sonnet 4.6Zero retention activado (sin entrenamiento del modelo)
LLM clasificación (respuestas)Anthropic Claude Haiku 4.5Zero retention activado
PagoStripePCI-DSS L1, Stripe Climate

RGPD — compromisos verificables

  • Alojamiento en Europa · datos almacenados exclusivamente en AWS eu-west-3 París (Supabase project ID: ykafzpuxicvgatdluuel)
  • Alojamiento en la UE · infraestructura AWS eu-west-3 (París). La capa Orkelia no está certificada HDS en sí misma — y no se tratan datos de salud (ver DPA).
  • DPA facilitado antes de firmar · contrato tipo UE bajo petición a dpo@orkelia.com
  • Zero retention LLM · Anthropic no almacena ni entrena con tus datos (cláusula Enterprise)
  • Anonimización pre-LLM · los datos sensibles de pacientes (nombre, nº de SS, alergias) se seudonimizan antes de enviarse al modelo
  • Derecho de acceso · exportación JSON completa en <30 días bajo petición por email (Art. 15 RGPD)
  • Derecho de supresión · purga de BD + logs + backups en <30 días (Art. 17 RGPD)
  • Registros de auditoría · conservación 12 meses de los accesos admin/super-admin
  • Notificación de brecha · <72h conforme al Art. 33 RGPD
  • Subencargados declarados · lista exhaustiva en el DPA (Supabase, Vercel, Resend, Anthropic, Stripe)
  • Reversibilidad total · exportación de BD en SQL/JSON, supresión completa tras el periodo contractual
  • 2FA TOTP · activable en todas las cuentas; SSO SAML disponible en el plan Grupo

Seguridad aplicativa

Autenticación

Email + magic link de Supabase Auth, 2FA TOTP opcional, sesiones JWT firmadas con rotación, expiración a 7 días.

Aislamiento tenant

Row-Level Security de PostgreSQL en todas las tablas sensibles. Pruebas de aislamiento tenant automatizadas en cada despliegue.

Cifrado

TLS 1.3 en tránsito, AES-256 en reposo (Supabase + AWS RDS). Secretos en el vault cifrado de Vercel, nunca en claro en el repo.

Honeypot anti-spam

Todos los formularios públicos (auditoría, partners, agent-sur-mesure, clinique-group) incluyen un campo honeypot. Bots filtrados en silencio.

Cabeceras de seguridad

HSTS, X-Frame-Options, X-Content-Type-Options, Permissions-Policy estricta. CSP en proceso de endurecimiento (modo report-only).

Dependencias

Auditoría npm automatizada en cada despliegue. Lockfile commiteado. Las actualizaciones mayores críticas (auth, crypto) se revisan manualmente.

IA — uso y salvaguardas

Modelos utilizados

Orkelia utiliza dos modelos Anthropic principales: Claude Sonnet 4.6 para las tareas de generación (redacción de borradores personalizados, conversaciones del agente) y Claude Haiku 4.5 para las tareas de clasificación (categorizar las respuestas entrantes, identificar la intención). No se usa ningún modelo de OpenAI/Google en producción.

Zero retention

La opción "zero retention" de Anthropic está activada por defecto en todas las llamadas LLM de Orkelia. Los inputs y outputs no se almacenan en Anthropic ni se usan para entrenar los modelos. Compromiso contractual mediante cláusula Enterprise.

Anonimización pre-LLM (salud)

Para los workspaces Orkelia Clínica, un pipeline de anonimización pasa antes de cada llamada LLM: seudonimización de los nombres de pacientes, masking de los números de seguridad social, abstracción de las alergias graves en una categoría. El LLM ve una representación desidentificada.

Salvaguardas de negocio

El agente nunca puede inventar una tarifa, un hueco de agenda ni un médico que no exista en la base. Las herramientas tool-use están en whitelist explícita (máx. 9 herramientas por workspace). Alucinaciones bloqueadas por una verificación posterior a la generación.

Escalado humano

En temas sensibles (urgencia médica, petición contractual, queja) el agente escala automáticamente hacia ti (SMS al móvil + dashboard). El agente nunca toma una decisión médica ni contractual por sí solo.

Auditoría independiente

El 17 de mayo de 2026, Orkelia fue auditada por un consultor independiente y obtuvo 71/100 — puntuación "madura, más avanzada que la media del mercado en esta etapa de desarrollo". Informe detallado disponible bajo petición en alexandre@orkelia.com.

Una certificación ISO 27001 está prevista para el Q3 2026 para las cuentas Grupo y Enterprise.

Contactos

¿Auditoría RGPD de tu stack actual?

30 min por videollamada con el founder para comparar tu proveedor actual con los 12 puntos RGPD. Sin pitch, sin compromiso.

Reservar una auditoría de 30 min →