nab.it guarda tus tareas, ideas y notas — así que la confianza es parte del producto, no una nota al pie. Esta página es el resumen en lenguaje claro de nuestra postura de seguridad y de dónde estamos con el cumplimiento formal. Para el detalle de cómo funcionan las protecciones, mira nuestra página de seguridad y privacidad.
Dónde estamos con SOC 2
Aún no tenemos certificación SOC 2 — SOC 2 Type I está en nuestro roadmap. SOC 2 es una atestación independiente, emitida por una firma CPA, de que los controles de seguridad de una empresa están diseñados (Type I) y operan en el tiempo (Type II). La buena noticia: la mitad cara y técnica ya está sólida aquí — cifrado, aislamiento por cuenta y reglas de base de datos que niegan por defecto. Lo que falta es organizacional: formalizar políticas escritas, revisiones de acceso, respuesta a incidentes, acuerdos con proveedores y recolección de evidencia.
Actualizaremos esta página en cuanto se emita una atestación, y nunca reclamaremos una certificación que no tengamos. Si tu equipo necesita detalle de cumplimiento para evaluar nab.it, escribe a info@nab.it.com.
Controles ya vigentes
- Aislamiento por cuenta. Cada nab es legible solo por ti; la base de datos niega toda escritura directa del cliente — los cambios pasan por nuestro servidor autenticado.
- Cifrado en tránsito y en reposo. HTTPS/TLS en todo; datos cifrados en reposo en Google Cloud. Los tokens de calendario conectado llevan una capa extra de cifrado AES-256-GCM a nivel de app y nunca se guardan en claro.
- IA que solo sugiere. La IA propone; nunca mueve, completa ni borra nada por su cuenta. Cada ruta de IA está autenticada, con límite de tasa, tope de gasto y su salida se valida contra un esquema. Tu contenido se trata como dato inerte, nunca como instrucciones.
- Offline-first. Captura, organiza y cierra sin conexión; tus datos también viven en tu dispositivo, no solo en la nube.
- Control de cambios y monitoreo. Todo cambio pasa por control de versiones y CI (análisis estático, tests y tests de reglas de base de datos en cada cambio); los eventos relevantes de seguridad quedan registrados.
Mira la página de seguridad y privacidad para el detalle completo.
Subprocesadores
Mantenemos corta y transparente la lista de terceros que pueden procesar datos en nuestro nombre. Cada uno es un proveedor establecido con su propio programa de seguridad; revisamos su cumplimiento como parte de la gestión de proveedores.
- Google Cloud / Firebase
- Infraestructura central — hosting, la base de datos Firestore, autenticación y almacenamiento. Tus datos se cifran en reposo aquí.
- Stripe
- Procesamiento de pagos y facturación de suscripciones cuando compras un plan. Stripe recibe solo la información de facturación necesaria para cobrarte.
- Anthropic
- Funciones de IA opcionales (Clarify, Reflect) cuando eliges usarlas. Solo se envía el texto que consultas, para esa petición — no se usa para entrenar modelos.
- Google Vertex AI
- Algunas funciones de IA pueden usar Vertex AI (Gemini) de Google. Aplica el mismo manejo que con Anthropic — tu contenido nunca se usa para entrenar modelos.
Reportar un problema
¿Encontraste un problema de seguridad? Damos la bienvenida a la divulgación responsable — mira nuestra política de divulgación y escribe a info@nab.it.com. Actuamos de buena fe con quienes investigan de buena fe.
Preguntas frecuentes
- ¿nab.it tiene certificación SOC 2?
- Todavía no. SOC 2 Type I está en nuestro roadmap. Los controles técnicos —cifrado, aislamiento por cuenta, reglas de base de datos que niegan por defecto— ya están en su lugar; lo que falta es formalizar políticas, proceso y evidencia. Actualizaremos esta página cuando se emita una atestación, y no reclamaremos una certificación que no tengamos.
- ¿Pueden darme un reporte de seguridad o cumplimiento?
- Si estás evaluando nab.it para tu equipo y necesitas detalles, escribe a info@nab.it.com. Con gusto compartimos lo que podamos sobre nuestros controles y roadmap.
- ¿Quién puede ver mis datos?
- Solo tú. Cada nab está aislado a tu cuenta por reglas de base de datos, y la escritura directa del cliente está denegada — los cambios pasan por nuestro servidor autenticado. No vendemos tus datos ni entrenamos modelos de IA con tus notas.
- ¿Dónde se guardan mis datos?
- En infraestructura de Google Cloud / Firebase, cifrados en tránsito (HTTPS/TLS) y en reposo. nab.it también es offline-first, así que una copia vive en tu dispositivo.
Esta página describe nuestra postura y planes de hoy; no es una garantía, una certificación, ni sustituye nuestra Política de Privacidad ni los Términos.