Seguridad y arquitectura

Esta página resume lo que su dirección de IT, su delegado de protección de datos y su auditor necesitan para tomar una decisión informada sobre un piloto de Actio. No sustituye a una llamada técnica — la hace más eficiente.

Una solicitud estándar a actio-agents.com recorre cuatro pasos:

• Navegador → Vercel Edge (UE, p. ej. Fráncfort o París) sobre TLS 1.3

• Vercel Edge → función serverless Vercel (Node.js 22, región UE)

• Función serverless → Resend (EE. UU., EU-US DPF) para el envío de correos de consulta piloto

• Resend → bandeja de entrada del equipo de Actio

En un despliegue piloto hospitalario, el runtime del agente se ejecuta en una región UE dedicada en Vercel o — a petición — íntegramente dentro de su propia infraestructura (on-premise).

Utilizamos exactamente dos subencargados para operar el sitio de marketing y recibir consultas piloto:

Vercel Inc. — alojamiento, red de borde y runtime serverless. Sede: 440 N Barranca Ave #4133, Covina, CA 91723, EE. UU. Certificaciones: EU-US Data Privacy Framework, SOC 2 Type II. Contrato de encargado conforme al art. 28 RGPD; cláusulas contractuales tipo conforme al art. 46 RGPD como complemento.

Resend, Inc. — envío transaccional de correo para consultas piloto. Sede: 2261 Market Street #4667, San Francisco, CA 94114, EE. UU. Certificaciones: EU-US Data Privacy Framework. Contrato de encargado conforme al art. 28 RGPD; SCC como complemento.

Utilizamos adicionalmente Vercel Web Analytics (mismo proveedor, sin cookies, sin almacenamiento en el dispositivo) para la medición agregada de audiencia. No utilizamos otros servicios (CRM, herramientas de soporte, analítica de terceros). Cualquier ampliación de esta lista se anunciará de forma transparente en la política de privacidad.

• RGPD (arts. 5–32): arquitectura diseñada para el derecho europeo de protección de datos, no certificada a posteriori.

• Contratos de encargado: estándar con cada subencargado (art. 28 RGPD).

• Cláusulas contractuales tipo (SCC): para cualquier transferencia a tercer país (art. 46 RGPD).

• Residencia de datos en la UE: la configuración por defecto opera íntegramente en regiones UE.

• Opción on-premise: operación completa tras su firewall disponible.

• ISO 27001: planificación de alcance para el Q3 de 2026.

• MDR (Reglamento de productos sanitarios): revisión para casos de uso clínico en curso; los agentes de Actio no toman decisiones médicas, lo que simplifica notablemente la clasificación MDR.

• Cookies: este sitio de marketing no instala cookies. La medición de audiencia es sin cookies y agregada (Vercel Web Analytics).

• Transporte: TLS 1.3 obligatorio para todas las conexiones.

• Autenticación: en despliegues on-premise, SSO mediante SAML/OIDC (Azure AD, Okta, etc.). En despliegues SaaS, MFA obligatoria para todos los roles de administración.

• Control de acceso: basado en roles (RBAC) — roles separados para médicos, administración y visores de solo lectura.

• Registros de auditoría: cada decisión del agente se registra, se marca temporalmente y se puede exportar — apto ISO y MDR.

• Limitación de tasa: los endpoints de API y formulario disponen de limitación por IP y protección honeypot.

• Sin decisiones médicas: cada resultado del agente se presenta al médico o administrador responsable para su aprobación — obligatorio, no opcional.

Nos integramos mediante interfaces estandarizadas HL7 y FHIR. Sin migración del software principal, sin sustitución de su sistema de información hospitalaria. Actio funciona junto a él y opera sobre objetos de datos estructurados de su HIS.

Tiempo típico de integración desde la firma del contrato al piloto en vivo: dos semanas — incluyendo la aprobación RGPD por parte de su IT y la firma del contrato de encargado.

Para su revisión de diligencia debida, proporcionamos:

• Plantilla de contrato de encargado (DPA) conforme al art. 28 RGPD

• Dossier técnico de arquitectura (PDF)

• Cuestionario de seguridad en formato SIG-Lite

• Lista actualizada de todos los subencargados con justificante de certificaciones

• Informe de pruebas de penetración (planificado Q3 2026; la carta de compromiso está disponible antes a petición)

Solicítelos en david.rehrl@thesolvia.com o mediante el formulario piloto con la palabra clave «Security Dossier».

Todos los informes relevantes para la seguridad, incluidas divulgaciones de vulnerabilidades e incidentes potenciales, envíelos a david.rehrl@thesolvia.com.

Para incidentes agudos durante un piloto activo, contacte al fundador directamente por teléfono: +43 660 2350039.

Respondemos a los informes de seguridad en 24 horas en días laborables.