Privacidad y GDPR by Design

La proteccion de datos no es una funcionalidad anadida a Queria. Es un principio arquitectural que ha guiado cada decision de diseno desde el principio. En un sistema que procesa documentos empresariales con IA, la confidencialidad no admite compromisos.

Arquitectura multi-tenant

Queria adopta un modelo multi-tenant con aislamiento completo entre las organizaciones:

Separacion de los datos

Cada empresa opera en un espacio completamente aislado. Los documentos, las conversaciones, las configuraciones y los modelos de busqueda de una organizacion no son nunca accesibles desde otra.

El aislamiento ocurre a varios niveles:

Colecciones vectoriales separadas: cada empresa dispone de su propia coleccion en la base de datos vectorial. Los embeddings de una organizacion existen en un espacio dimensional completamente distinto.
Datos relacionales aislados: cada registro en la base de datos esta asociado a un identificador empresarial. Las queries aplican automaticamente filtros de aislamiento.
Knowledge Base dedicadas: las bases de conocimiento curadas son privadas para cada organizacion.
Conversaciones e historial: la historia de las interacciones es visible solo dentro de la organizacion de pertenencia.

Ninguna contaminacion entre tenants

El principio de aislamiento se extiende tambien al nivel semantico. Dado que cada empresa usa una coleccion vectorial dedicada, las busquedas no pueden nunca devolver fragmentos de documentos pertenecientes a otras organizaciones. No existen indices compartidos ni espacios de embedding comunes.

Procesamiento IA local

Este es un punto de diferenciacion fundamental: los modelos de inteligencia artificial de Queria operan sobre infraestructura dedicada local.

Ningun dato enviado a terceros

Los documentos empresariales no se transmiten nunca a servicios cloud de IA generativa. Ni a servicios americanos, ni a servicios europeos, ni a ningun proveedor externo. El procesamiento ocurre integramente en la infraestructura controlada por la organizacion.

Esto significa:

Sin entrenamiento sobre datos empresariales: los modelos IA no aprenden de los documentos procesados. No existe el riesgo de que informacion reservada termine incorporada en los parametros del modelo y potencialmente expuesta a otros usuarios.
Soberania completa de los datos: la organizacion mantiene el control total sobre donde residen sus datos y quien accede a ellos.
Conformidad con politicas empresariales restrictivas: organizaciones con requisitos de seguridad elevados pueden adoptar Queria sin excepciones a sus politicas de proteccion de datos.

Opcion LLM personalizado

Para las organizaciones que prefieren usar su propio proveedor IA, Queria ofrece la posibilidad de configurar un endpoint externo personalizado. En este caso:

Las claves API se cifran en reposo con AES-256-GCM
El endpoint se valida antes de la activacion
La organizacion gestiona directamente la relacion con el proveedor elegido
Queria se limita a enrutar las peticiones sin memorizar las respuestas del modelo externo

Proteccion de los datos

Cifrado

Los datos sensibles estan protegidos con cifrado AES-256-GCM, el estandar usado por instituciones financieras y gubernamentales:

Claves API empresariales cifradas en reposo
Credenciales de integracion con servicios externos protegidas
Claves de cifrado gestionadas con rotacion periodica

Autenticacion y autorizacion

El acceso al sistema esta protegido por un modelo de seguridad multinivel:

JWT (JSON Web Token): autenticacion de las sesiones de usuario con vencimiento configurable
API Key: autenticacion para integraciones programaticas y widgets
Roles y permisos (RBAC): control granular de accesos basado en roles
- Administrador de sistema
- Administrador empresarial
- Operador
- Usuario basico
Permisos a nivel de topic: es posible limitar el acceso a categorias especificas de documentos por rol o usuario

Proteccion de los inputs

Cada input recibido por el sistema pasa por:

Saneamiento: eliminacion de contenidos potencialmente peligrosos (XSS, injection)
Validacion: verificacion de los formatos y los limites dimensionales
Rate limiting: limites de frecuencia por usuario y por organizacion, para prevenir abusos

Queria implementa nativamente los principios del Reglamento General de Proteccion de Datos:

Derecho al olvido (Art. 17)

La organizacion puede solicitar la eliminacion completa de todos los datos asociados:

Soft delete: los datos se marcan como eliminados y se hacen inaccesibles, mantenidos por un periodo configurable para eventuales restauraciones
Hard delete: eliminacion permanente e irreversible de todos los archivos, incluidos base de datos relacional, base de datos vectorial y file system
La eliminacion se propaga automaticamente a todos los sistemas conectados

Portabilidad de los datos (Art. 20)

La organizacion puede exportar todos sus datos en formatos estandar legibles por otras plataformas. La exportacion incluye documentos originales, metadatos, conversaciones y configuraciones.

Minimizacion de los datos (Art. 5.1.c)

El sistema recoge y conserva solo los datos estrictamente necesarios para el funcionamiento del servicio de inteligencia documental. No se recogen datos comportamentales, preferencias personales o informacion no pertinente al proposito del tratamiento.

Limitacion de las finalidades (Art. 5.1.b)

Los datos subidos se utilizan exclusivamente para proporcionar el servicio de busqueda y analisis documental. No se utilizan para profiling, marketing, entrenamiento de modelos o cualquier otra finalidad no declarada.

Registros de tratamiento

El sistema mantiene logs de auditoria que documentan los accesos a los datos, las operaciones realizadas y las eliminaciones efectuadas. Estos logs no contienen datos personales (PII) y estan disponibles para las verificaciones de conformidad.

Seguridad operativa

Almacenamiento seguro de los archivos

Los documentos subidos se archivan con:

Permisos de acceso restrictivos a nivel de file system
Organizacion por organizacion en paths separados
Verificacion de la integridad del archivo en el momento del procesamiento

Sin datos personales en los logs

Los logs del sistema estan disenados para excluir informacion personal identificable. Los mensajes de error y las trazas diagnosticas contienen solo identificadores tecnicos, nunca contenidos de documentos, nombres de usuarios u otros datos personales.

Rate limiting y proteccion frente a abusos

El sistema implementa limites de uso a varios niveles:

Limites por usuario individual (peticiones por minuto)
Limites por organizacion (peticiones por minuto, volumen diario)
Limites por endpoint (proteccion frente a ataques dirigidos)
Limites configurables en base al plan de suscripcion

Un enfoque sin compromisos

La eleccion de ejecutar los modelos IA en infraestructura local tiene un coste en complejidad operativa. Pero para las organizaciones que tratan documentos reservados, contratos, datos financieros, informacion sobre pacientes o propiedad intelectual, este coste esta ampliamente justificado por la certeza de que sus datos no cruzan nunca los confines de la infraestructura controlada.

En una epoca en la que la mayoria de los servicios IA requiere enviar los datos al cloud, Queria ofrece una alternativa que no obliga a elegir entre inteligencia artificial y confidencialidad.

Privacidad y GDPR by Design ​

Arquitectura multi-tenant ​

Separacion de los datos ​

Ninguna contaminacion entre tenants ​

Procesamiento IA local ​

Ningun dato enviado a terceros ​

Opcion LLM personalizado ​

Proteccion de los datos ​

Cifrado ​

Autenticacion y autorizacion ​

Proteccion de los inputs ​

Conformidad GDPR ​

Derecho al olvido (Art. 17) ​

Portabilidad de los datos (Art. 20) ​

Minimizacion de los datos (Art. 5.1.c) ​

Limitacion de las finalidades (Art. 5.1.b) ​

Registros de tratamiento ​

Seguridad operativa ​

Almacenamiento seguro de los archivos ​

Sin datos personales en los logs ​

Rate limiting y proteccion frente a abusos ​

Un enfoque sin compromisos ​