Seguridad y compliance

Aislamiento multi-tenant

Cada organización vive en un compartimento separado. Los datos de tu organización nunca cruzan con los de otra organización a nivel aplicación, ni a nivel base de datos.

• Cada request lleva el contexto de organización y se valida en cada operación.
• Los Test Cases, Suites, Plans, Runs y Reports están alcanzados al organization_id del usuario.
• No existe forma —ni en UI ni en API— de listar o leer recursos de otra organización.

Autenticación

• Email + contraseña con verificación obligatoria de email antes del primer login.
• Login con Google (OAuth).
• 2FA / TOTP obligatorio para todos los usuarios. Compatible con Google Authenticator, Authy, 1Password, etc.
• Recuperación de contraseña con link de un solo uso enviado por email.

Roles y permisos

Dentro de una organización, los usuarios tienen roles que definen qué pueden hacer. Los roles principales son:

• Admin / Owner: control total sobre la organización, billing y miembros.
• Member: puede crear y operar Test Cases, Suites, Plans, Runs y Evaluaciones.
• Viewer (lectura): puede ver reportes pero no ejecuta ni modifica.

Datos en tránsito y en reposo

• Tránsito: todo el tráfico entre tu navegador / pipeline y la plataforma viaja por HTTPS / TLS.
• Reposo: los datos se almacenan en infraestructura cloud con cifrado en reposo provisto por el proveedor.
• Credenciales sensibles (tokens, API keys de tu agente de IA) se almacenan cifradas y nunca se devuelven en claro a la UI ni a la API.

Detección automática de PII

Como parte de la evaluación, la plataforma detecta automáticamente:

• Emails.
• Teléfonos.
• Documentos de identidad.
• Tarjetas de crédito.

La detección sirve para alertar cuando un agente de IA expone PII donde no debería.

Snapshots inmutables y trazabilidad

Cada Run guarda un snapshot completo: input, response, tiempos, logs y scores. Estos snapshots no se editan después de creados, lo que da:

• Reproducibilidad: puedes volver a ver exactamente qué pasó en una corrida vieja.
• Auditabilidad: si un regulador o un cliente pide ver una corrida histórica, está disponible idéntica a como fue generada.

Calibración de evaluadores

Los 17 evaluadores LLM que puntúan las respuestas de tu agente de IA vienen pre-calibrados por nuestro equipo. La calibración es el proceso por el cual nos aseguramos de que un evaluador devuelva puntajes confiables y consistentes en distintos dominios y modelos.

Cómo lo hacemos internamente

• Mantenemos datasets de referencia con respuestas etiquetadas con su puntaje esperado por expertos humanos.
• Cada evaluador puntúa esos casos y medimos la desviación respecto al puntaje de referencia.
• Ajustamos prompt, modelo y temperatura del evaluador hasta que la desviación entra dentro del margen aceptable.
• Repetimos el proceso ante cualquier cambio relevante: nuevo modelo, ajuste de prompt, o feedback de clientes que sugiera drift.
• Los datasets de calibración se versionan junto con el evaluador para que el comportamiento sea reproducible.

Qué garantiza esto

• Cuando habilitas un evaluador en tu organización, ya está validado para puntuar de forma consistente.
• Si en una próxima versión cambiamos el modelo o el prompt, lo recalibramos antes de habilitarlo.
• No tienes que entender ni mantener el proceso — solo eliges qué evaluadores activar para tu dominio.

Infraestructura y stack

Resumen alto nivel de la infraestructura sobre la que corre ArtificialQA, pensado para equipos de IT y compliance del cliente:

• Cloud: AWS. Toda la plataforma corre sobre infraestructura de Amazon Web Services.
• Capa de LLM: los modelos que alimentan la generación con IA, los evaluadores y los reportes mejorados pasan por Globant Enterprise AI, una plataforma intermedia gestionada que nos da estabilidad ante cambios en los proveedores de modelos, controles de seguridad y trazabilidad de consumo. No exponemos los datos del cliente directamente a un único proveedor de modelos.
• Ejecución Browser: Playwright sobre Chromium headless, en workers gestionados.
• Aplicación web: Next.js + React + TypeScript end-to-end, con TailwindCSS para el sistema de diseño.
• Persistencia: base de datos relacional gestionada para Test Cases, Suites, Plans, Runs, evaluaciones y reportes; cache en Redis para sesiones y operaciones de tiempo real.
• API: REST estándar, disponible en planes Pro y Enterprise para integrar con CI/CD u otros sistemas internos.

Si necesitas una ficha técnica más detallada (versiones, regiones, certificaciones del proveedor cloud, DPA específico), coordinamos el envío bajo NDA en plan Enterprise.

Auditoría externa con Nextfense

ArtificialQA pasó por una revisión de seguridad externa con Nextfense. Las recomendaciones surgidas del proceso fueron evaluadas e implementadas.

Si necesitas el detalle del alcance y los hallazgos para tu equipo de seguridad, contáctanos.

Compliance: dónde estamos

Para ser transparentes:

• Tenemos los controles operativos que sirven de base para certificaciones tipo SOC 2 / ISO 27001 (gestión de accesos, segregación, logging, backups).
• La certificación formal es un proceso en curso y no podemos representar que ya la tengamos.
• Para clientes Enterprise con requerimientos puntuales (residencia de datos, DPA específico, SLA dedicado) coordinamos un plan a medida.

Buenas prácticas para tu equipo

• Activa 2FA para todas las cuentas, especialmente Admin/Owner.
• Usa roles mínimos: Viewer para los que solo necesitan leer reportes.
• Rota tokens de tu agente de IA periódicamente; la plataforma los re-encripta sin pedir el viejo.
• No metas datos productivos reales en los inputs de los Test Cases si no es necesario. Usa datos sintéticos.
• Revisa el detector de PII: si detecta filtraciones reales en respuestas del agente de IA, escala inmediatamente con desarrollo.

Reportar una vulnerabilidad

Si encontraste una posible vulnerabilidad, escríbenos a través de artificialqa.com. Tomamos los reportes en serio y respondemos en pocos días.

Próximo paso

Si quedaron preguntas operativas o sobre planes, mira la Preguntas frecuentes y la página de Planes y pricing.