Syncanix

Centro de confianza

Toda pregunta que un equipo de compras B2B, seguridad o privacidad suele hacer sobre un nuevo proveedor de IA, respondida aquí. Cifras concretas, compromisos actuales y sin adjetivos de marketing. Si falta algo, escriba a admin@syncanix.com y publicaremos la respuesta para el siguiente lector.

De un vistazo

Región de datos: Todos los datos almacenados residen en la UE (Fráncfort). Las respuestas de IA las genera de forma transitoria el proveedor del modelo — excluidas del entrenamiento según sus términos de API; los acuerdos ZDR están en proceso de formalización.
Cifrado: Cifrado en reposo; TLS 1.3 en tránsito. BYOK admitido para el nivel enterprise.
Reglamento de IA de la UE: Las obligaciones de transparencia del artículo 50 se cumplen antes de la fecha de aplicación del 2 Aug 2026. Syncanix es el proveedor de un sistema de IA de riesgo limitado; las obligaciones relativas a los modelos de IA de uso general (GPAI) recaen en la cadena ascendente.
Notificación de violaciones de seguridad: SLA de notificación a los clientes de 24 horas desde la confirmación de la violación (art. 33 del DPA).
SLA de DSAR: Acuse de recibo en 24 horas; cumplimiento en 30 días (art. 12 del RGPD).
SOC 2: La recopilación de evidencias de Tipo I comienza el mes 1 tras el lanzamiento; el Tipo II, para el mes 9.

Por dónde fluyen tus datos

Un turno de conversación, de principio a fin: qué se ejecuta dónde, qué se almacena y qué es transitorio.

Tu usuario escribe un mensaje
TransitorioUE (Fráncfort)
El widget de chat lo envía por TLS a la API de Syncanix, donde cada solicitud queda vinculada a tu identidad de inquilino antes que nada.
Almacenamiento de conversaciones y catálogo
AlmacenadoUE (Fráncfort)
La transcripción, tu catálogo de capacidades y tu configuración se escriben en almacenamiento aislado por inquilino, cifrado en reposo.
Recuperación de documentación
TransitorioUE (Fráncfort)
Cuando tu documentación fundamenta una respuesta, los embeddings y el reranking se ejecutan en la región, en Amazon Bedrock.
Generación de la respuesta de IA
TransitorioProveedor del modelo (fuera de la UE)
El mensaje y el contexto recuperado los procesa de forma transitoria el proveedor del modelo para generar la respuesta — excluidos del entrenamiento según sus términos de API; el acuerdo de retención cero de datos (ZDR) está en proceso de formalización.
La respuesta llega en streaming
TransitorioUE (Fráncfort)
La respuesta fluye a través de la API de Syncanix hasta el navegador de tu usuario. Lo que persiste después es la transcripción almacenada del paso 2.

Seguridad

El entorno de producción se ejecuta en la UE (Frankfurt) en una cuenta de nube dedicada y totalmente aislada. Todos los datos se cifran en reposo y en tránsito con TLS 1.3. Acceso con privilegios mínimos en cada carga de trabajo y rol de base de datos; autenticación activada de forma predeterminada en cada llamada a la API; CSP / HSTS / X-Frame-Options en cada respuesta de cara al cliente.

Lea la descripción completa de seguridad →

Estado del sistema en vivo

Una página de estado pública muestra la disponibilidad en vivo de la API, la entrega del widget, el panel y el sitio web, actualizada cada cinco minutos, con incidentes actuales y ventanas de mantenimiento programadas.

Ver el estado del sistema

Cuestionario de seguridad

Las preguntas habituales de revisión (dominios CAIQ-Lite, áreas VSA-Core) respondidas por adelantado: sí / parcial / previsto con honestidad y el detalle detrás de cada una.

Lee el cuestionario respondido

Accesibilidad

WCAG 2.1 AA es el listón de ingeniería. La declaración cubre el estado de conformidad por superficie, las medidas que lo sustentan y las limitaciones conocidas.

Lee la declaración de accesibilidad

Subencargados del tratamiento

Syncanix se apoya hoy en 6 subencargados: los proveedores de modelos (Anthropic, OpenAI), la región de producción de AWS (que también ejecuta los embeddings de recuperación y el reranking mediante Amazon Bedrock, dentro de la región en la UE), el proveedor de identidad (Auth0), la analítica de producto basada en consentimiento (PostHog) y la facturación (Paddle, nuestro comerciante registrado). Cada uno trata las categorías de datos explícitamente necesarias para su finalidad y nada más. Una política de preaviso de 30 días se aplica a todo cambio sustancial (nuevo subencargado, nueva categoría de datos, cambio de ubicación).

Lea la lista completa de subencargados del tratamiento →

DPA y transferencias transfronterizas

Un DPA bilateral cubre el artículo 28 del RGPD (obligaciones del encargado), el artículo 32 (medidas de seguridad) y el artículo 33 (notificación de violaciones en 24 horas). Las transferencias transfronterizas utilizan las cláusulas contractuales tipo (SCC), Módulo dos (encargado a encargado), con el anexo IDTA de la ICO del Reino Unido para las transferencias al Reino Unido y un anexo de la FADP suiza para las transferencias a Suiza. Los anexos regionales cubren la PDPL de los EAU, la PDPL de Arabia Saudí, la Enmienda 13 de Israel, Egipto, Catar, Baréin, Omán y Jordania.

Lea el resumen completo del DPA →

Privacidad

Encargado del tratamiento del contenido de los clientes y responsable del tratamiento de las cuentas del panel. Valores predeterminados: conservación de 30 días, sin entrenamiento de modelos fundacionales con datos de clientes y residencia en la UE para todos los datos almacenados. Derechos del RGPD respetados por artículo (15 / 16 / 17 / 20 / 25 / 32 / 33); abstención del artículo 22 (decisiones automatizadas) por diseño: cada acción de alto impacto cuenta con un interruptor de intervención humana. CCPA y 19 leyes estatales de EE. UU. cubiertas por un superconjunto; la pila de MENA abarca la PDPL de los EAU, la PDPL de Arabia Saudí y la Enmienda 13 de Israel.

Lea el aviso de privacidad completo →

Cumplimiento en materia de IA

El Reglamento de IA de la UE es aplicable a partir del 2 Aug 2026. Syncanix es el proveedor de un sistema de IA de riesgo limitado; las obligaciones relativas a los modelos de IA de uso general (GPAI) conforme al artículo 53 recaen en la cadena ascendente, en Anthropic y OpenAI. La transparencia del artículo 50 se cumple antes de la fecha de aplicación: aviso al usuario final de que "interactúa con un sistema de IA" e indicador persistente en la cabecera del chat, traducido a los 6 idiomas de lanzamiento. Las fichas de modelo, la ficha del sistema y la metodología de evaluación de sesgos se publican en la página de cumplimiento en materia de IA.

Lea el resumen completo de cumplimiento en materia de IA →

Certificaciones de cumplimiento

Objetivos concretos, no "tenemos previsto": SOC 2 Tipo I en el 3.er trimestre de 2026 (Vanta, con la selección de auditor en curso), SOC 2 Tipo II en el 4.º trimestre de 2026, ISO 27001 en el 4.º trimestre de 2026, artículo 50 del Reglamento de IA de la UE verificado antes del 2 Aug 2026, DPA del RGPD disponible ahora, CCPA / CPRA disponible ahora. HIPAA y FedRAMP quedan explícitamente fuera del alcance de la v1.

Lea el estado completo de cumplimiento →

DSAR: solicitudes de acceso del interesado

Las solicitudes se acusan en un plazo de 24 horas y se cumplen en un plazo de 30 días, conforme al artículo 12 del RGPD. Los 5 tipos de solicitud admitidos corresponden a los artículos 15 (Acceso), 16 (Rectificación), 17 (Supresión), 20 (Portabilidad) y 21 (Oposición) del RGPD.

Enviar una DSAR →

Idiomas

El producto, el aviso sobre IA y las notas legales dirigidas a los clientes se traducen a los 6 idiomas de lanzamiento: inglés, español, francés, alemán, árabe y hebreo. El árabe y el hebreo se representan de derecha a izquierda de extremo a extremo, incluidos los iconos que tienen un significado direccional. Antes de cada lanzamiento se realiza una revisión por hablantes nativos.

Contacto

Compras, cuestionarios de proveedores y preguntas generales sobre confianza: admin@syncanix.com.
DSAR, escalado del RGPD y preguntas sobre el DPA: admin@syncanix.com.
Divulgación de vulnerabilidades e incidentes de seguridad: admin@syncanix.com.