Confianza y cumplimiento
Seguridad y manejo de datos
Última revisión: 9 de julio de 2026
Los asuntos, descripciones y documentos que envías a Tesseum nunca se usan para entrenar, afinar ni mejorar modelos de lenguaje — ni los nuestros ni los de ningún tercero. Todos los subencargados de IA que usamos están contratados bajo términos de cero retención de datos.
1. Cifrado
En reposo: cifrado AES-256 en todos los datos almacenados (administrado por Supabase). Los respaldos de la base de datos se cifran con la misma clase de llave y se replican a una región secundaria en la UE.
En tránsito: TLS 1.3 en cada solicitud — navegador → edge de Vercel → función serverless → Supabase. HSTS está habilitado en el dominio raíz.
2. Autenticación y aislamiento
Tesseum usa Google OAuth 2.0 para el inicio de sesión. Nunca vemos ni almacenamos contraseñas. Las passkeys WebAuthn están soportadas en la capa de autenticación para quienes prefieren acceso sin contraseña.
Dentro de Postgres, cada tabla con datos de usuario está protegida con seguridad a nivel de fila (RLS). Tus chats, carpetas, favoritos y configuración de cuenta solo pueden leerse con tu propio token de sesión — ni siquiera el personal de Tesseum puede consultarlos sin romper un rastro de auditoría sellado.
3. Subencargados de IA — cero retención
Tesseum enruta las llamadas a modelos de lenguaje a través de Anthropic (Claude) y Google (Gemini). Ambos están contratados bajo acuerdos de cero retención de datos:
- Anthropic: addendum de Cero Retención de Datos firmado; los prompts y las respuestas no se almacenan más allá de la vida de la solicitud y quedan excluidos de cualquier pipeline de entrenamiento.
- Google Gemini API: el tráfico fluye por el nivel empresarial de Google Cloud, donde los datos no se usan para mejorar los modelos.
Si un proveedor de modelos llegara a cambiar su política de retención, publicaremos aquí un addendum antes de mover tráfico a los nuevos términos.
4. Hosting y residencia de datos
La aplicación corre en Vercel en la región de Frankfurt (fra1). La base de datos y el almacenamiento están alojados en Supabase. Las Cláusulas Contractuales Tipo (SCC) aprobadas por la Comisión Europea cubren cualquier transferencia posterior fuera del EEE. La lista completa de subencargados y el diagrama actual de flujo de datos están en el Acuerdo de Tratamiento de Datos.
5. Estado del corpus
Tesseum está construido sobre un corpus jurídico verificado, con México como jurisdicción principal: legislación federal y de las 32 entidades federativas. Cada artículo proviene del diario o gaceta oficial de su jurisdicción; nada se parafrasea ni se genera. Las cifras siguientes están tomadas de producción a la fecha de la última revisión indicada arriba.
| Componente del corpus | Cifra | Cobertura |
|---|---|---|
| Leyes federales vigentes | 313 | Federación |
| Leyes estatales vigentes | 5,155 | 32 entidades federativas |
| Artículos vigentes | 653,049 | federal + estatal |
| Normas Oficiales Mexicanas (NOM) vigentes | 779 | Federación |
| Tesis y jurisprudencia | 271,813 | Poder Judicial de la Federación |
| Boletín judicial diario | 16 entidades | actualización diaria |
| Total de leyes vigentes | 5,468 | Federación + 32 entidades |
El corpus crece. Las cifras se actualizan directamente desde producción en cada revisión.
6. Práctica operativa
- Mínimo privilegio: solo el rol de servicio de despliegue puede ejecutar migraciones; todo el tráfico de la aplicación usa llaves anónimas acotadas con RLS.
- Gestión de secretos: las credenciales viven en variables de entorno de Vercel; nunca se suben al repositorio.
- Higiene de dependencias: alertas automáticas ante CVE críticos en el árbol de dependencias.
- Integridad de webhooks: los eventos de pago de Stripe se verifican por firma y su idempotencia se registra en una tabla dedicada.
7. Tu control sobre tus datos
Desde Configuración → Tus datos puedes, en cualquier momento y sin contactar a soporte:
- Descargar todos tus datos en un solo archivo JSON (artículo 20 del RGPD — derecho a la portabilidad de los datos).
- Eliminar tu cuenta de forma permanente. Se borran perfil, chats, carpetas, favoritos, preferencias y credenciales de autenticación. Los registros financieros se anonimizan para cumplir las obligaciones fiscales de conservación (artículo 17 del RGPD — derecho de supresión).
8. Cómo reportar una vulnerabilidad
Si encuentras un problema de seguridad, escríbenos a security@tesseum.com con el asunto «Reporte de seguridad». Buscamos acusar recibo en un máximo de 48 horas. La divulgación responsable se agradece y se protege.