Seguridad y confianza

Cómo protegemos los datos de tu empresa

Plenix conecta las herramientas de tu empresa —Google Workspace, Microsoft 365, Slack y más— para responder preguntas sobre tu propia información. Esa confianza exige una postura de seguridad seria. Acá explicamos, sin jerga, exactamente cómo la sostenemos.

Última actualización: julio 2026Contacto: security@plenix.ai

Aislamiento por cliente

Una base de datos dedicada por cada empresa. Los datos de un cliente nunca se mezclan con los de otro.

Cifrado siempre

En tránsito (TLS) y en reposo. Tus tokens de acceso y conexiones viajan y se guardan cifrados.

Mínimo privilegio

Solo lectura, nunca escritura. Cada usuario delega su propio acceso; no un acceso global a toda la empresa.

Sin entrenar IA con tus datos

Los proveedores de IA que usamos tienen prohibido entrenar sus modelos con tu información.

Ubicación y aislamiento

¿Dónde viven mis datos y cómo se separan de los de otras empresas?

Tu información se aloja en la infraestructura de Google Cloud Platform, con el más alto estándar de seguridad física y operativa. El procesamiento ocurre en centros de datos de Google en Estados Unidos (región us-central1). Como esto implica una transferencia internacional de datos, la respaldamos con acuerdos de tratamiento y salvaguardas contractuales con cada proveedor, tal como lo exige la Ley 21.719 — no es un detalle que dejamos al azar.

La separación entre clientes no depende de un filtro en el código: usamos una arquitectura multi-tenant con una base de datos física distinta para cada empresa. No existe una tabla común donde convivan datos de distintos clientes. Este aislamiento está respaldado por pruebas automáticas que se ejecutan en cada cambio y que fallan si algún dato pudiera cruzar de un cliente a otro.

Cifrado

¿Está cifrada mi información?

Sí, en las dos dimensiones que importan:

  • En tránsito: todo el tráfico viaja por HTTPS/TLS, con HSTS activo. La base de datos solo acepta conexiones cifradas.
  • En reposo: el almacenamiento de Google Cloud está cifrado. Además, ciframos por nuestra cuenta los datos más sensibles: los tokens de acceso a tus herramientas y las propias cadenas de conexión a cada base de datos.

Permisos y accesos

¿Qué permisos me piden y por qué?

Aplicamos el principio de mínimo privilegio: pedimos únicamente permisos de solo lectura, nunca de escritura, y justificamos cada uno. La conexión la hace cada usuario con su propia cuenta (OAuth delegado): Plenix accede a lo que esa persona ya puede ver, no obtiene un acceso administrativo global sobre toda la organización.

¿Quién ve qué dentro de mi propia empresa?

El aislamiento no es solo entre empresas, también dentro de la tuya. Nuestro motor de búsqueda respeta los permisos de origen de cada documento: un usuario solo puede recuperar contenido al que realmente tiene acceso. Si un archivo se compartió solo con ciertas personas, el resto no lo verá en sus respuestas, y cuando se revoca un acceso dejamos de mostrar ese contenido (con una postura «cerrada por defecto» ante cualquier duda). Es un marco de control de acceso universal, obligatorio para cada nueva integración desde su primera versión.

Inteligencia artificial

¿Usan mis datos para entrenar modelos de IA?

No. Para responder tus preguntas, enviamos fragmentos relevantes de tu contenido como contexto momentáneo a modelos de IA (OpenAI y Google Vertex). Operamos con estos proveedores bajo términos que prohíben usar tus datos para entrenar sus modelos: Google Cloud publica ese compromiso empresarial, y en nuestra organización de OpenAI tenemos desactivado a nivel de cuenta todo uso de tus datos para entrenamiento o evaluación.

Sin proveedores de riesgo en producción

No enrutamos datos de clientes a proveedores fuera de EE.UU. en producción. En particular, cualquier proveedor basado en China está bloqueado a nivel de código en nuestro entorno productivo: se usa solo, si acaso, en pruebas internas sin datos reales.

Sub-procesadores

¿Quiénes procesan mis datos?

Trabajamos con un conjunto acotado de proveedores de infraestructura, todos con acuerdos de tratamiento de datos (DPA). Esta es la lista de producción:

ProveedorQué procesaUbicaciónUso
Google CloudAlojamiento y base de datos de todo el contenidoEE.UU.Infraestructura
Google Vertex / GeminiModelo de IA y generación de embeddingsEE.UU.IA
OpenAIFragmentos como contexto de inferenciaEE.UU.IA
Firebase HostingEntrega del sitio web (proxy)EE.UU.Infraestructura
SentryMonitoreo de errores (sin contenido de negocio)EE.UU.Observabilidad
Grafana CloudMétricas operativas (no contenido)EE.UU.Observabilidad

Mantenemos esta lista actualizada y notificamos a nuestros clientes ante cambios de sub-procesadores.

Retención y borrado

¿Qué pasa si desconecto una herramienta o me doy de baja?

Guardamos tu contenido indexado solo mientras la integración esté conectada. Es una copia derivada de tu fuente original (Drive, Gmail, Slack…), así que:

  • Al desconectar una herramienta, borramos sus credenciales y el contenido indexado de esa fuente.
  • Al desactivar un usuario, purgamos su contenido y revocamos sus accesos en la misma operación.
  • Atendemos solicitudes de acceso, rectificación y eliminación de datos personales (derechos ARCO+ de la Ley 21.719).

Desarrollo seguro

¿Cómo construyen el producto de forma segura?

La seguridad está incorporada en cómo trabajamos, no añadida al final:

  • Barrera de calidad obligatoria en cada cambio: análisis automático de vulnerabilidades en dependencias, batería de pruebas con cobertura completa, y revisión de código antes de publicar.
  • Sin secretos ni datos personales en el código. Las credenciales se gestionan aparte, nunca se versionan.
  • Detección de configuraciones inseguras al arranque: el sistema se niega a iniciar en producción si detecta un valor por defecto inseguro.
  • Verificación de firma en los webhooks entrantes y controles de acceso a nivel de objeto (contra accesos indebidos entre usuarios).

Cumplimiento y normativa

¿Cumplen con la normativa de protección de datos?

Estamos alineando el producto con las obligaciones que corresponden, y somos transparentes sobre lo que ya está y lo que está en curso:

  • Ley 21.719 (Chile): preparando el cumplimiento — mapa de flujos de datos, política de retención, derechos ARCO+ y salvaguardas de transferencia internacional con cada proveedor.
  • Verificación de Google (CASA): en proceso. Es una evaluación de seguridad independiente para apps que acceden a datos de Google, alineada con el estándar OWASP ASVS.

En qué estamos trabajando

Creemos que la confianza se gana siendo honestos sobre el camino que falta. Hoy estamos avanzando en:

Autenticación en dos pasos (2FA) nativa. Hoy delegamos la verificación en Google y Microsoft cuando inicias sesión con ellos; estamos sumando 2FA propia para cuentas con contraseña local.
Endurecimiento del perímetro de red y registros de auditoría de acceso a datos.
Certificaciones formales (tipo SOC 2 / ISO 27001) a medida que escalamos. Aún no las tenemos; forman parte de nuestro plan.