Confianza y seguridad.
Página pública de transparencia sobre la infraestructura, la conformidad y los compromisos RGPD de Orkelia. Actualizada el 18 de mayo de 2026.
Stack y alojamiento
| Componente | Proveedor | Región / certificación |
|---|---|---|
| Base de datos | Supabase | AWS eu-west-3 París (infraestructura) |
| Front + Edge runtime | Vercel | Fráncfort / París (proxy CDN), código bajo physiopros-projects |
| Email transaccional | Resend | Región UE, DPA Resend público |
| LLM agente (texto largo) | Anthropic Claude Sonnet 4.6 | Zero retention activado (sin entrenamiento del modelo) |
| LLM clasificación (respuestas) | Anthropic Claude Haiku 4.5 | Zero retention activado |
| Pago | Stripe | PCI-DSS L1, Stripe Climate |
RGPD — compromisos verificables
- Alojamiento en Europa · datos almacenados exclusivamente en AWS eu-west-3 París (Supabase project ID: ykafzpuxicvgatdluuel)
- Alojamiento en la UE · infraestructura AWS eu-west-3 (París). La capa Orkelia no está certificada HDS en sí misma — y no se tratan datos de salud (ver DPA).
- DPA facilitado antes de firmar · contrato tipo UE bajo petición a dpo@orkelia.com
- Zero retention LLM · Anthropic no almacena ni entrena con tus datos (cláusula Enterprise)
- Anonimización pre-LLM · los datos sensibles de pacientes (nombre, nº de SS, alergias) se seudonimizan antes de enviarse al modelo
- Derecho de acceso · exportación JSON completa en <30 días bajo petición por email (Art. 15 RGPD)
- Derecho de supresión · purga de BD + logs + backups en <30 días (Art. 17 RGPD)
- Registros de auditoría · conservación 12 meses de los accesos admin/super-admin
- Notificación de brecha · <72h conforme al Art. 33 RGPD
- Subencargados declarados · lista exhaustiva en el DPA (Supabase, Vercel, Resend, Anthropic, Stripe)
- Reversibilidad total · exportación de BD en SQL/JSON, supresión completa tras el periodo contractual
- 2FA TOTP · activable en todas las cuentas; SSO SAML disponible en el plan Grupo
Seguridad aplicativa
Autenticación
Email + magic link de Supabase Auth, 2FA TOTP opcional, sesiones JWT firmadas con rotación, expiración a 7 días.
Aislamiento tenant
Row-Level Security de PostgreSQL en todas las tablas sensibles. Pruebas de aislamiento tenant automatizadas en cada despliegue.
Cifrado
TLS 1.3 en tránsito, AES-256 en reposo (Supabase + AWS RDS). Secretos en el vault cifrado de Vercel, nunca en claro en el repo.
Honeypot anti-spam
Todos los formularios públicos (auditoría, partners, agent-sur-mesure, clinique-group) incluyen un campo honeypot. Bots filtrados en silencio.
Cabeceras de seguridad
HSTS, X-Frame-Options, X-Content-Type-Options, Permissions-Policy estricta. CSP en proceso de endurecimiento (modo report-only).
Dependencias
Auditoría npm automatizada en cada despliegue. Lockfile commiteado. Las actualizaciones mayores críticas (auth, crypto) se revisan manualmente.
IA — uso y salvaguardas
Modelos utilizados
Orkelia utiliza dos modelos Anthropic principales: Claude Sonnet 4.6 para las tareas de generación (redacción de borradores personalizados, conversaciones del agente) y Claude Haiku 4.5 para las tareas de clasificación (categorizar las respuestas entrantes, identificar la intención). No se usa ningún modelo de OpenAI/Google en producción.
Zero retention
La opción "zero retention" de Anthropic está activada por defecto en todas las llamadas LLM de Orkelia. Los inputs y outputs no se almacenan en Anthropic ni se usan para entrenar los modelos. Compromiso contractual mediante cláusula Enterprise.
Anonimización pre-LLM (salud)
Para los workspaces Orkelia Clínica, un pipeline de anonimización pasa antes de cada llamada LLM: seudonimización de los nombres de pacientes, masking de los números de seguridad social, abstracción de las alergias graves en una categoría. El LLM ve una representación desidentificada.
Salvaguardas de negocio
El agente nunca puede inventar una tarifa, un hueco de agenda ni un médico que no exista en la base. Las herramientas tool-use están en whitelist explícita (máx. 9 herramientas por workspace). Alucinaciones bloqueadas por una verificación posterior a la generación.
Escalado humano
En temas sensibles (urgencia médica, petición contractual, queja) el agente escala automáticamente hacia ti (SMS al móvil + dashboard). El agente nunca toma una decisión médica ni contractual por sí solo.
Auditoría independiente
El 17 de mayo de 2026, Orkelia fue auditada por un consultor independiente y obtuvo 71/100 — puntuación "madura, más avanzada que la media del mercado en esta etapa de desarrollo". Informe detallado disponible bajo petición en alexandre@orkelia.com.
Una certificación ISO 27001 está prevista para el Q3 2026 para las cuentas Grupo y Enterprise.
Contactos
- DPO / RGPD · dpo@orkelia.com — DPA, derecho de acceso, supresión
- Seguridad / divulgación responsable · security@orkelia.com — vulnerabilidades
- Founder / comercial · alexandre@orkelia.com — preguntas generales
¿Auditoría RGPD de tu stack actual?
30 min por videollamada con el founder para comparar tu proveedor actual con los 12 puntos RGPD. Sin pitch, sin compromiso.
Reservar una auditoría de 30 min →