Guía de Seguridad de Datos

1. Alcance y Principios Generales

Esta Guía aplica a toda la información que los Usuarios ingresan, cargan o generan a través de los Servicios de FaroNova, incluyendo FaroMonitor y FaroPlanning.

FaroNova distingue dos categorías de información del Usuario según su tratamiento:

• Conversaciones con el Asistente Conversacional: El contenido de las consultas y respuestas se procesa en tiempo real y se elimina inmediatamente después de generar la respuesta (Zero Data Retention). FaroNova no almacena, accede ni revisa este contenido.

• Archivos almacenados: Los documentos que el Usuario carga a la plataforma se almacenan con encriptación AES-256 en Amazon S3 (server-side, llaves administradas por AWS). Solo el Usuario, a través de su cuenta autenticada, puede acceder a su contenido.

Adicionalmente, FaroNova almacena de forma segura los datos de cuenta del Usuario (nombre, correo electrónico, organización, credenciales de autenticación) y estadísticas de uso con identificadores pseudonimizados de forma irreversible, conforme a lo descrito en el Aviso de Privacidad.

Roles de tratamiento: FaroNova actúa como responsable del tratamiento respecto de los datos de registro, autenticación, soporte, facturación, contacto y navegación del sitio web. Respecto de los datos personales contenidos en archivos, consultas, proyectos o documentos cargados por clientes corporativos para su propio uso, el cliente actúa como responsable y FaroNova como encargado del tratamiento, actuando únicamente bajo instrucciones del cliente y para la prestación del Servicio.

2. Procesamiento de Datos por Inteligencia Artificial

Los Servicios de FaroNova procesan las consultas e instrucciones de los Usuarios mediante inteligencia artificial a través de dos canales con política de Zero Data Retention: Anthropic (API directa) y Amazon Bedrock (servicio administrado de Amazon Web Services). Ambos canales ejecutan modelos de Anthropic Claude. Cada funcionalidad del Servicio utiliza uno o ambos canales según disponibilidad y tipo de procesamiento.

Flujo de procesamiento:

1. El Usuario envía una consulta o instrucción a través de la interfaz del Servicio.

2. La consulta se transmite mediante conexión encriptada (HTTPS/TLS) al proveedor de IA correspondiente (Anthropic o Amazon Bedrock, según el Servicio y la funcionalidad).

3. El proveedor procesa la consulta y genera una respuesta.

4. La respuesta se entrega al Usuario.

5. El contenido de la consulta y la respuesta se elimina inmediatamente de los servidores del proveedor.

Procesamiento sin persistencia en el servidor de FaroNova:

El servidor del Asistente Conversacional de FaroMonitor procesa cada consulta como un turno independiente. El historial de conversación se mantiene exclusivamente en la memoria volátil del proceso durante la sesión activa y se elimina automáticamente al finalizar la sesión, ya sea por inactividad (30 minutos) o por cierre del proceso. No se persiste ningún contenido de conversación en base de datos, caché ni sistema de archivos del servidor. No es posible recuperar conversaciones de sesiones anteriores.

Política de Zero Data Retention de los proveedores de IA:

Tanto Anthropic como Amazon Bedrock operan bajo políticas de Zero Data Retention. Esto implica que:

• No se almacena historial de conversaciones ni datos procesados en ningún servidor de Anthropic ni de Amazon.

• No es posible recuperar el contenido de consultas anteriores una vez procesadas por el modelo de IA.

• En caso de acceso no autorizado a los servidores, no existiría contenido de conversaciones que pudiera comprometerse.

Acceso al contenido procesado:

• FaroNova: No accede al contenido en el curso ordinario de la prestación del Servicio. Cualquier acceso excepcional requerirá una base legal o contractual y controles internos documentados.

• Amazon Web Services: No accede al contenido procesado por Bedrock en el curso ordinario de las operaciones.

• Anthropic: Desarrollador del modelo Claude utilizado tanto a través de su API directa como de Amazon Bedrock. Opera bajo política de Zero Data Retention en ambos canales. No retiene consultas ni respuestas.

Uso para entrenamiento de modelos:

Los datos de clientes empresariales procesados a través de Anthropic y de Amazon Bedrock no se utilizan para entrenar, mejorar o desarrollar modelos de inteligencia artificial. Esta prohibición es de carácter contractual con ambos proveedores.

3. Generación de Imágenes con Inteligencia Artificial

El módulo de planificación por escenarios (FaroPlanning) permite generar imágenes ilustrativas de escenarios estratégicos mediante inteligencia artificial. Estas imágenes se generan a través de Google Vertex AI (modelo Gemini), servicio de inteligencia artificial de Google Cloud Platform.

Flujo de procesamiento:

1. El Usuario solicita la generación de una imagen para un escenario de planificación.

2. FaroPlanning construye un prompt textual descriptivo derivado de las narrativas del escenario (descripciones generales del contexto, no datos personales directos del Usuario).

3. El prompt se transmite mediante conexión encriptada (HTTPS/TLS) a Google Vertex AI.

4. Google Vertex AI genera la imagen y la devuelve a FaroPlanning.

5. La imagen generada se almacena con encriptación AES-256 en Amazon S3, con las mismas medidas de protección aplicables a los demás archivos almacenados.

Tratamiento de los datos por Google:

• Google Cloud Platform opera bajo términos empresariales que establecen que los datos de los clientes no se utilizan para entrenar, mejorar ni desarrollar modelos de inteligencia artificial.

• Google no retiene los prompts de generación ni las imágenes producidas más allá del tiempo estrictamente necesario para completar la solicitud.

• Las credenciales de acceso a Google Vertex AI se almacenan de forma segura en AWS Secrets Manager, no en el código fuente.

Naturaleza de los datos transmitidos:

Los prompts enviados a Google Vertex AI son descripciones textuales de escenarios de planificación estratégica. No contienen datos personales identificables del Usuario, sino descripciones generales de contextos y narrativas que el Usuario ha redactado como parte de su ejercicio de planificación.

4. Tratamiento de Archivos Almacenados

Los documentos que el Usuario carga a la plataforma (PDFs, archivos de texto y otros formatos soportados) se almacenan de forma persistente para su consulta y uso posterior.

Medidas de protección:

• Encriptación en tránsito: Toda transferencia de archivos se realiza mediante protocolo HTTPS/TLS.

• Encriptación en reposo: Los archivos se almacenan con encriptación AES-256 en Amazon S3, utilizando encriptación server-side con llaves administradas por AWS (SSE-S3).

• Control de acceso: Solo el Usuario, debidamente autenticado mediante AWS Cognito, puede acceder al contenido de sus archivos.

Acceso al contenido de los archivos:

• FaroNova: No accede al contenido de los archivos del Usuario en el curso ordinario de la prestación del Servicio. Cualquier acceso excepcional requerirá una base legal o contractual y controles internos documentados.

• Amazon Web Services: Almacena los archivos encriptados. No accede a su contenido en el curso ordinario de las operaciones.

• Terceros no autorizados: Sin las credenciales de autenticación y las llaves de encriptación administradas por AWS, los archivos resultan ilegibles.

Periodo de retención:

• Durante la vigencia del servicio: Los archivos permanecen almacenados hasta que el Usuario los elimine voluntariamente.

• Post-terminación: Salvo que el acuerdo comercial aplicable disponga un plazo distinto, los archivos del Usuario permanecerán disponibles para exportación durante treinta (30) días calendario posteriores a la terminación. Vencido dicho plazo, se eliminarán permanentemente de todos los sistemas, incluyendo archivos, proyectos, estadísticas de uso y cuenta de autenticación. Las excepciones son: (a) un registro de auditoría legal mínimo que no contiene contenido del Usuario, correo electrónico ni información personal identificable, retenido exclusivamente para cumplimiento legal con un periodo de expiración definido; y (b) copias de respaldo encriptadas de la infraestructura de autenticación, retenidas por un periodo limitado conforme a las prácticas de recuperación ante desastres de FaroNova y eliminadas automáticamente al vencer su ciclo de retención.

5. Estadísticas de Uso

FaroNova recopila estadísticas agregadas sobre el uso de los Servicios con el fin exclusivo de mejorar sus productos. Estas estadísticas pueden incluir:

• Frecuencia de uso de la plataforma.

• Módulos o secciones más consultadas.

• Volumen general de consultas.

• Patrones generales de navegación.

• Tiempos de sesión.

Antes de almacenar estas estadísticas, los identificadores de usuario se pseudonimizan de forma irreversible mediante una función hash criptográfica unidireccional (SHA-256 con salt fijo). Esto significa que no es posible recuperar la identidad del Usuario a partir de los datos almacenados. Las estadísticas no incluyen ni permiten identificar el contenido específico de las consultas, archivos o conversaciones del Usuario.

Los reportes administrativos agregan las estadísticas a nivel de empresa, no de usuario individual. No se exponen identificadores personales en ningún panel o reporte.

La recopilación de estadísticas de uso requiere el consentimiento previo del Usuario. El Usuario puede revocar este consentimiento en cualquier momento desde la configuración de la plataforma, lo que detendrá la captura de eventos de forma inmediata y disparará la eliminación de los eventos históricos asociados al Usuario. Los eventos de analytics pseudonimizados se retienen mientras el Usuario mantenga una cuenta activa con consentimiento de analytics vigente. Cada Servicio puede aplicar ciclos de limpieza automática más cortos (por ejemplo, eliminación de eventos individuales a los treinta (30) días y de datos agregados a los noventa (90) días). En todos los casos, la totalidad de los datos de analytics se elimina al revocar el consentimiento de analytics o al eliminar la cuenta del Usuario.

FaroNova no tiene acceso al contenido de las conversaciones con el Asistente Conversacional ni al contenido de los archivos almacenados por el Usuario.

6. Preguntas Frecuentes

SOBRE SEGURIDAD

¿Los datos almacenados en la plataforma son vulnerables a ataques?

El riesgo se mitiga mediante las siguientes medidas:

• Conversaciones con el Asistente Conversacional: No existe información almacenada que pueda ser comprometida, dado que el contenido se elimina inmediatamente después de su procesamiento.

• Archivos: En caso de acceso no autorizado a los servidores de almacenamiento, los archivos se encuentran encriptados con AES-256 y resultan ilegibles sin las llaves de encriptación administradas por AWS.

¿Cómo se puede verificar esta información?

Las prácticas de seguridad descritas están documentadas públicamente por Amazon Web Services. Los enlaces de referencia se encuentran en la sección de Documentación Técnica al final de esta Guía.

SOBRE INTELIGENCIA ARTIFICIAL

¿Se utilizan los datos del Usuario para entrenar modelos de inteligencia artificial?

No. Esta prohibición está establecida contractualmente con los proveedores de infraestructura. Aplica tanto a las conversaciones con el Asistente Conversacional como a los archivos almacenados.

¿Los Servicios incluyen mecanismos de moderación de contenido?

Los modelos de inteligencia artificial utilizados por los Servicios (Anthropic Claude) incorporan mecanismos de seguridad integrados que rechazan la generación de contenido potencialmente dañino, ilegal o inapropiado. Esta moderación es ejecutada directamente por el proveedor de IA como parte del procesamiento de cada solicitud. FaroNova no almacena ni el contenido rechazado ni los detalles de la detección, dado que esta se produce dentro de la infraestructura del proveedor bajo su política de Zero Data Retention.

SOBRE PRIVACIDAD

¿FaroNova puede acceder al contenido de las consultas o archivos del Usuario?

No. Por diseño técnico y restricción contractual, FaroNova no tiene acceso al contenido de las conversaciones con el Asistente Conversacional ni al contenido de los archivos almacenados. FaroNova puede acceder a estadísticas agregadas y anonimizadas sobre el uso de la plataforma, pero nunca al contenido específico de las consultas, respuestas o archivos del Usuario.

¿FaroNova comparte información del Usuario con terceros?

FaroNova no vende, comparte ni transfiere el contenido de las conversaciones ni de los archivos del Usuario a terceros. Los terceros involucrados en el procesamiento de datos personales son los proveedores de infraestructura tecnológica: Amazon Web Services (procesamiento, almacenamiento e inteligencia artificial conversacional) y Google Cloud Platform (generación de imágenes ilustrativas en FaroPlanning). Ambos procesan los datos exclusivamente para la prestación del Servicio y bajo obligaciones contractuales de confidencialidad y seguridad. FaroNova puede utilizar proveedores de servicios operativos adicionales que procesan exclusivamente información pública o datos operativos del Servicio, sin acceso a datos personales del Usuario.

7. Derechos del Titular

Conforme a la Ley 1581 de 2012 y su Decreto Reglamentario 1377 de 2013, el titular de los datos personales tiene los siguientes derechos:

• Conocer: Conocer, actualizar y rectificar sus datos personales, y solicitar prueba de la autorización otorgada para el tratamiento.

• Rectificar: Solicitar la corrección de datos parciales, inexactos, incompletos o fraccionados.

• Suprimir: Solicitar la supresión de sus datos cuando no sean necesarios para la finalidad para la cual fueron recopilados, o cuando el titular revoque la autorización.

• Revocar: Revocar la autorización otorgada para el tratamiento de sus datos personales.

• Oposición: Oponerse al tratamiento de sus datos en los casos previstos por la ley.

Adicionalmente, como beneficio contractual, FaroNova ofrece:

• Portabilidad: Solicitar la entrega de sus datos en un formato estructurado, de uso común y lectura mecánica.

Para ejercer cualquiera de estos derechos, el titular podrá contactar a FaroNova a través del correo privacidad@faronova.co o del formulario de solicitud de derechos disponible en la Plataforma. Los plazos de respuesta y el procedimiento detallado se encuentran en el Aviso de Privacidad.

8. Marco Normativo y Certificaciones

CUMPLIMIENTO NORMATIVO DE FARONOVA

FaroNova cumple con las siguientes regulaciones en el tratamiento de datos personales:

• Constitución Política de Colombia, Artículo 15: Derecho a la intimidad, al buen nombre y al hábeas data.

• Ley Estatutaria 1581 de 2012: Régimen General de Protección de Datos Personales.

• Ley 1266 de 2008: Disposiciones generales del hábeas data, en especial la financiera, crediticia, comercial y de servicios.

• Decreto 1377 de 2013: Decreto Reglamentario de la Ley 1581 de 2012.

• Decreto 1074 de 2015: Decreto Único Reglamentario del Sector Comercio, Industria y Turismo (Título 26, Capítulo 25).

• GDPR: FaroNova adopta los estándares del Reglamento General de Protección de Datos de la Unión Europea como referencia de mejores prácticas internacionales.

CERTIFICACIONES DE LA INFRAESTRUCTURA

FaroNova opera sobre infraestructura de Amazon Web Services (AWS). AWS cuenta con las siguientes certificaciones otorgadas por auditores independientes, que cubren los servicios de cómputo, almacenamiento e inteligencia artificial utilizados para operar los Servicios de FaroNova:

• SOC 2: Estándar de seguridad para servicios en la nube, verificado mediante auditoría independiente.

• ISO 27001: Estándar internacional de gestión de seguridad de la información.

• ISO 27018: Código de prácticas para la protección de datos personales en la nube.

Las certificaciones SOC 2, ISO 27001 e ISO 27018 corresponden a Amazon Web Services, Inc., proveedor de infraestructura de FaroNova. FaroNova no cuenta con estas certificaciones de manera independiente a la fecha de publicación de esta Guía.

9. Transferencia Internacional y Ubicación de los Datos

Los datos personales recopilados por FaroNova se almacenan y procesan en servidores ubicados en los Estados Unidos de América, operados por los siguientes proveedores de infraestructura:

• Amazon Web Services, Inc.: Almacenamiento, procesamiento e inteligencia artificial conversacional (región us-east-1, Virginia).

• Google Cloud Platform (Google LLC): Generación de imágenes ilustrativas en FaroPlanning mediante Google Vertex AI (región us-central1, Iowa).

Los flujos de datos hacia los proveedores de infraestructura de FaroNova constituyen transmisiones internacionales a encargados del tratamiento, realizadas al amparo del artículo 26, literal a) de la Ley 1581 de 2012 (autorización expresa e inequívoca del titular) y regidas por contratos de transmisión conforme al artículo 2.2.2.25.5.2 del Decreto 1074 de 2015. Los Estados Unidos de América no se encuentran en la lista de países con nivel adecuado de protección emitida por la SIC, razón por la cual la transmisión se fundamenta en la autorización expresa del titular.

Para mayor detalle sobre las transmisiones internacionales de datos y los encargados del tratamiento, consulte el Aviso de Privacidad de FaroNova.

10. Glosario

• AES-256: Advanced Encryption Standard con longitud de llave de 256 bits. Estándar de encriptación utilizado por gobiernos y entidades financieras para proteger información clasificada.

• Amazon Bedrock: Servicio de inteligencia artificial administrado de Amazon Web Services que ejecuta modelos de lenguaje. Opera bajo política de Zero Data Retention para clientes empresariales.

• Amazon S3: Servicio de almacenamiento de objetos de Amazon Web Services utilizado para el almacenamiento encriptado de archivos.

• Anthropic: Empresa desarrolladora de Claude, el modelo de inteligencia artificial utilizado por FaroNova a través de dos canales: API directa de Anthropic y Amazon Bedrock. Opera bajo política de Zero Data Retention en ambos canales.

• Encriptación en reposo: Protección de datos almacenados mediante algoritmos criptográficos que los hacen ilegibles sin la llave de desencriptación correspondiente.

• Encriptación en tránsito: Protección de datos durante su transmisión entre el dispositivo del Usuario y los servidores, mediante protocolos HTTPS/TLS.

• Gemini: Modelo de inteligencia artificial desarrollado por Google, utilizado a través de Google Vertex AI para la generación de imágenes ilustrativas en FaroPlanning.

• Google Vertex AI: Plataforma de inteligencia artificial de Google Cloud utilizada por FaroNova para la generación de imágenes ilustrativas en el módulo de planificación por escenarios (FaroPlanning).

• SSE-S3: Server-Side Encryption con llaves administradas por Amazon S3. Método de encriptación utilizado para los archivos almacenados.

• Zero Data Retention: Política de Anthropic y de Amazon Bedrock aplicable a clientes empresariales que garantiza la eliminación inmediata del contenido de las consultas y respuestas después de su procesamiento.

11. Documentación Técnica de Referencia

La información contenida en esta Guía puede verificarse en la documentación pública de los proveedores de infraestructura:

AMAZON WEB SERVICES

• Protección de datos en Amazon Bedrock: docs.aws.amazon.com/bedrock/latest/userguide/data-protection.html

• Seguridad y cumplimiento de Amazon Bedrock: aws.amazon.com/bedrock/security-compliance/

• Encriptación en Amazon S3: docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html

• Política de privacidad de datos de AWS: aws.amazon.com/compliance/data-privacy-faq/

• Programas de cumplimiento de AWS: aws.amazon.com/compliance/programs/

GOOGLE CLOUD PLATFORM

• Gobernanza de datos en Vertex AI: cloud.google.com/vertex-ai/docs/generative-ai/data-governance

• Compromisos de privacidad de Google Cloud: cloud.google.com/privacy

• Certificaciones de cumplimiento de Google Cloud: cloud.google.com/compliance

Para consultas relacionadas con la seguridad de los datos, contacte a FaroNova a través de privacidad@faronova.co.