Glore← Volver al inicio

Seguridad y confidencialidad

Última actualización: 2026-06-24

Glore maneja información sensible: consultas legales personales y, en el modo profesional, documentos que pueden contener datos de terceros. Esta página explica, con detalle técnico verificable, cómo se protege esa información. Si eres profesional del derecho y tu deber de secreto te exige saber dónde acaban los datos antes de subir nada — esta página es para ti.

1. Cifrado

  • En tránsito: todo el tráfico viaja por HTTPS/TLS, con HSTS activado (incluido el modo preload).
  • En reposo, a nivel de aplicación: el contenido de tus conversaciones (preguntas y respuestas), los títulos, las citas extraídas de tus documentos, los nombres de archivo y tu perfil profesional se cifran con AES-256-GCM en nuestro servidor antes de guardarse en la base de datos. Ni siquiera un acceso directo a la base de datos permite leerlos sin la clave, que vive separada de los datos.
  • Documentos PDF: se almacenan en un repositorio privado, cifrado en reposo por el proveedor de infraestructura, y aislado por usuario (ver punto 3).
  • Índice de búsqueda de expedientes: para poder buscar dentro de los expedientes grandes, su texto se indexa por página en nuestra base de datos. Un índice de búsqueda no puede cifrarse a nivel de aplicación sin dejar de funcionar; por eso tiene la misma protección que el propio PDF: cifrado en reposo, alojamiento en la UE y aislamiento por usuario. Al borrar el documento, su índice se elimina con él.

2. Dónde viven los datos

La base de datos y el almacenamiento de documentos están alojados en la Unión Europea (Fráncfort, Alemania), en infraestructura de Supabase. El procesamiento de IA lo realiza la API de Anthropic; los detalles de encargados del tratamiento y transferencias internacionales están en la Política de Privacidad.

3. Aislamiento por usuario

Aplicamos Row Level Security (RLS) en todas las tablas de la base de datos: cada petición se evalúa contra la identidad del usuario autenticado, de modo que es la propia base de datos — no solo la aplicación — la que impide acceder a conversaciones o documentos de otra persona. El almacenamiento de documentos aplica la misma regla: cada archivo vive en una carpeta ligada a tu identidad y las políticas de acceso verifican esa correspondencia en cada operación.

4. La IA y tus datos

  • El contenido de tu consulta (y el documento adjunto, si lo hay) se envía a la API de Anthropic únicamente para generar la respuesta.
  • Anthropic no utiliza los datos enviados a través de su API para entrenar sus modelos.
  • Las respuestas citan fuentes oficiales (BOE, CENDOJ) precisamente para que no tengas que fiarte a ciegas: cada afirmación normativa es verificable con un clic, y los análisis de documentos citan la página exacta de la que sale cada dato.

5. Expedientes del modo profesional

  • Los PDF que subes se usan exclusivamente para los análisis que tú pidas en tus conversaciones. Nadie más puede acceder a ellos.
  • Los expedientes de más de 20 páginas no se envían completos a la IA: se consultan mediante un índice de búsqueda por página alojado en la misma infraestructura de la UE, y solo los fragmentos relevantes para tu pregunta llegan al proveedor de IA.
  • Puedes borrarlos individualmente en cualquier momento desde Mi cuenta → Mis documentos; al borrar tu cuenta se eliminan también todos los archivos del almacenamiento.
  • Recomendación profesional: anonimiza los expedientes antes de subirlos siempre que el análisis lo permita. Como profesional, los datos de tus clientes siguen estando bajo tu responsabilidad y tu deber de secreto.

6. Tus controles

  • Exportar: descarga todos tus datos (perfil, conversaciones, metadatos de documentos) en JSON desde tu cuenta (RGPD art. 20).
  • Borrar: elimina tu cuenta y todo lo asociado — conversaciones, mensajes, documentos, perfil — de forma irreversible desde tu cuenta (RGPD art. 17).
  • Memoria del modo profesional: lo que el sistema aprende de tu forma de trabajar se muestra en tu cuenta y puedes borrarlo regla a regla.

7. Otras medidas

  • Cabeceras de seguridad estrictas (CSP, X-Frame-Options, nosniff) en todas las páginas.
  • Límites de peticiones por minuto y cuotas diarias contra el abuso automatizado.
  • Las direcciones IP de usuarios anónimos nunca se guardan en claro: solo un hash criptográfico que rota a diario.
  • Validación estricta de todos los archivos subidos (tipo real del archivo, tamaño y número de páginas).

8. ¿Has encontrado un problema de seguridad?

Escríbenos a agenciagmz28@gmail.com y lo investigaremos con prioridad. Agradecemos la divulgación responsable.