Seguridad en Clodei.
Table of Contents
Cómo alojamos, aislamos, ciframos, auditamos y divulgamos. Plano de datos solo en la UE, aislamiento por tenant en contenedores, JWT asimétrico, libro mayor wallet append-only, política de divulgación coordinada.
Esta página resume los controles que Clodei tiene implementados hoy. Complementa los documentos formales en /legal y los runbooks operativos que usamos internamente. Para cuestionarios RFP o paquetes de due diligence, solicítalos en legal@clodei.com.
1. Hosting y residencia de datos
Todo el procesamiento de datos vive en jurisdicciones UE. El plano de control corre en Railway (eu-west-1). La identidad y persistencia en Supabase (eu-west-3 París). El email transaccional se envía con Resend desde infraestructura UE (eu-west-1 Irlanda). Los PDF de facturas se almacenan en Cloudflare R2 con jurisdicción UE. El cómputo (contenedores GPU) corre en nodos proveedores cuya localización física se selecciona por instancia y es visible al cliente; producción objetivo es KUMO Networks Tier IV en España.
2. Aislamiento por tenant
Cada instancia GPU corre en su propio contenedor Docker con cap_drop ALL, perfil seccomp aplicado, network_mode=bridge (host networking está bloqueado en el agente), pids_limit y ulimits aplicados, namespace IPC privado para single-GPU, y workspace per-instance montado con permisos 0750. Los registries de imagen están restringidos a una allowlist (aitorgarmen/, ghcr.io/clodei/, library/, pytorch/, nvidia/, nvcr.io/, tensorflow/). Los bind-mounts bajo /etc, /proc, /sys, /var/run/docker.sock son rechazados por el agente.
3. Identidad y acceso
Supabase Auth emite tokens JWT firmados con ES256. El backend los verifica localmente vía JWKS (cache 10 min; endpoint admin fuerza refresco inmediato). Los refresh tokens rotan en cada uso con ventana de reuso de 10 segundos — reusar uno viejo falla con invalid_grant. Los endpoints admin están protegidos con require_admin; los cron con X-Cron-Token con scope. La verificación de email se exige antes de operaciones que crean recursos.
4. Protección de datos
TLS 1.2+ en tránsito en todo hop externo. Supabase Postgres y Cloudflare R2 cifran en reposo con AES-256. Los datos personales se retienen por categoría — ver la Política de Privacidad y el DPA. Las tablas operacionales (email_events_log, webhook_events_log, feedback_responses) se purgan automáticamente. La PII en logs se enmascara mediante un helper compartido; CI rechaza nuevos logger.* que pasen emails crudos.
5. Integridad de wallet y facturación
El libro mayor del wallet es append-only a nivel de base de datos (triggers Postgres rechazan UPDATE/DELETE). Las claves de idempotencia previenen el doble cargo. Un cron diario de reconciliación compara balance vs. suma del ledger en todos los wallets; deltas ≤ 1€ se autocorrigen y registran en audit_log; deltas mayores escalan por email al buzón de alertas de operaciones.
6. Hoja de ruta de cumplimiento
El cumplimiento del RGPD es la base (licitud, limitación del fin, retención, transparencia, derechos del interesado vía la página Privacy). Las certificaciones ISO 27001 y ENS Medio están planificadas para Q1 2027 — el análisis de brechas vive en docs/compliance/. Hay un DPA disponible para firma con clientes B2B. La lista de subencargados se publica de forma pública.
7. Subencargados
La lista completa de subencargados — con el rol, datos accedidos, localización primaria y mecanismo legal de cada uno — está publicada en /legal/subprocessors/es y se actualiza cuando contratamos un nuevo subencargado.
8. Divulgación de vulnerabilidades
La política de divulgación coordinada y la cláusula de safe harbour están publicadas en /legal/security-policy. Los metadatos machine-readable están en /.well-known/security.txt. Reportes a security@clodei.com; acusamos recibo en 2 días laborables y hacemos triaje en 5 días laborables.
9. Contacto
security@clodei.com para reportes de vulnerabilidad. legal@clodei.com para consultas DPO, derechos de interesados RGPD, paquetes RFP / due diligence y firma de DPA.