Seguridad y confianza
Veesie muestra cómo asistentes de IA como ChatGPT, Gemini y Perplexity hablan de su marca. Para ello, usted confía a Veesie los datos de su marca y, a veces, su Google Analytics. Esta página explica exactamente cómo protege Veesie esos datos: cifrados, en la UE y accesibles solo para usted.
Siempre cifrado
Los campos sensibles, como sus tokens de Google, se cifran con AES-256-GCM. Todas las conexiones se realizan por HTTPS con HSTS.
Alojamiento en la UE
Su cuenta, sus marcas y sus resultados residen en una base de datos PostgreSQL en Fráncfort. Ningún dato esencial fuera de la UE.
Acceso de IA de solo lectura
La conexión con Google Analytics es de solo lectura. Veesie nunca puede cambiar ni eliminar sus estadísticas.
Aislamiento estricto
Cada cliente ve únicamente sus propios datos, garantizado por partida doble: a nivel de base de datos (RLS) y en la aplicación.
1. Sus datos y la monitorización de IA
Para medir cómo ve la IA su marca, Veesie envía sus prompts (preguntas sobre su marca, su sector y su competencia) a proveedores de IA como OpenAI, Anthropic, Google y Perplexity. Guardamos sus respuestas en nuestra base de datos en la UE.
- Las prompts tratan sobre marcas y temas, no sobre personas. Normalmente no contienen datos personales.
- Las respuestas, puntuaciones y análisis resultantes se guardan en la UE.
- Veesie nunca usa sus datos para entrenar modelos ni para publicidad.
2. Cifrado
En tránsito
Todo el tráfico hacia veesie.com se realiza por HTTPS. Enviamos una cabecera Strict-Transport-Security (HSTS) con una duración de dos años y estamos en la lista de precarga de HSTS, de modo que los navegadores nunca se conectan sin cifrar.
En reposo
Los campos sensibles de nuestra base de datos, como sus tokens de acceso y de actualización de Google Analytics y cualquier URL de webhook, se cifran con AES-256-GCM (cifrado autenticado). Si se manipulan los datos cifrados, el descifrado falla automáticamente. La clave se almacena por separado de la base de datos, como un secreto de Cloudflare Worker.
3. La conexión con Google Analytics
Muchos clientes conectan su Google Analytics 4 a Veesie para ver los datos de tráfico junto a su visibilidad en IA. Esa conexión es deliberadamente mínima:
- Solo lectura: solo solicitamos el ámbito
analytics.readonly. Veesie puede leer su Analytics, pero nunca cambiarlo, eliminarlo ni compartirlo. - Protegida contra CSRF: el flujo de OAuth usa un estado firmado con HMAC vinculado a su sesión que caduca al cabo de diez minutos. Nadie puede forzar la conexión en su nombre.
- Cifrada: los tokens que devuelve Google se almacenan cifrados (consulte Cifrado).
- Desconectable: usted revoca el acceso en cualquier momento, tanto en Veesie como directamente en su cuenta de Google.
4. Acceso y autenticación
- El inicio de sesión se realiza a través de Supabase Auth. Las contraseñas se almacenan con hash, nunca de forma legible.
- Las páginas de registro y de contacto están protegidas contra bots con Cloudflare Turnstile.
- Durante el acceso anticipado, el registro es por invitación (código de invitación).
- Los entornos de administración interna se ejecutan tras Cloudflare Zero Trust Access y no son accesibles públicamente. La URL directa de workers.dev está desactivada, de modo que esa protección no se puede eludir.
5. Infraestructura y aislamiento
- Alojamiento: la aplicación se ejecuta en Cloudflare Workers, en la red edge global de Cloudflare.
- Base de datos: una base de datos PostgreSQL en Supabase, en Fráncfort (UE).
- Aislamiento multiinquilino: cada organización ve únicamente sus propios datos. Esto se garantiza por partida doble: con Row Level Security a nivel de base de datos y con comprobaciones de propiedad en cada acción de servidor de la aplicación.
- Cloudflare y Supabase están ambos certificados según estándares internacionales (incluidos SOC 2 e ISO 27001) para su infraestructura.
6. Seguridad de la aplicación
Veesie se revisa continuamente en materia de seguridad de forma interna. El código base pasó por varias auditorías de seguridad frente a las directrices de OWASP para API y para aplicaciones de LLM. Las medidas concretas incluyen:
- Cabeceras de seguridad HTTP: una Content-Security-Policy estricta, HSTS, X-Frame-Options (DENY), X-Content-Type-Options y una Permissions-Policy restrictiva.
- Protección contra SSRF: los webhooks salientes solo pueden dirigirse a direcciones HTTPS públicas; los rangos de IP internos están bloqueados.
- Refuerzo contra inyección de prompts: las respuestas de IA guardadas y la entrada del usuario se neutralizan antes de volver a un prompt de IA.
- Protección contra la inyección de fórmulas CSV en las exportaciones, comparación de secretos resistente a ataques de temporización y consultas parametrizadas a la base de datos contra la inyección SQL.
Ningún servicio puede garantizar una seguridad absoluta, pero trabajamos continuamente para reducir riesgos y mejorar nuestras medidas.
7. Pagos
Los pagos se realizan a través de Stripe Checkout. Los datos de su tarjeta van directamente a Stripe, un proveedor de pago certificado según PCI-DSS. Veesie nunca ve ni almacena los datos de su tarjeta; solo conservamos una referencia a su cliente de Stripe.
8. Subencargados del tratamiento
Para prestar el servicio trabajamos con un número limitado de subencargados del tratamiento cuidadosamente seleccionados:
| Subencargado del tratamiento | Función | Ubicación |
|---|---|---|
| Supabase (Postgres + Auth) | Base de datos, autenticación | UE (Fráncfort) |
| Cloudflare (Workers) | Alojamiento de la aplicación, procesamiento edge | Edge global, procesamiento en la región de la UE más cercana |
| Resend | Correo transaccional (notificaciones, informes) | Región de la UE |
| Stripe | Procesamiento de pagos (solo en un plan de pago) | Irlanda (UE) |
| Sentry | Monitorización de errores (seguimiento de errores) | UE (Fráncfort, Alemania) |
| OpenAI, Anthropic, Google, Perplexity | Llamadas a LLM (las prompts se envían a los proveedores) | EE. UU. / UE (según el proveedor), sobre la base de las CCT |
Los datos esenciales (cuenta, marcas, resultados) se almacenan exclusivamente en la UE. Las transferencias a proveedores fuera de la UE se realizan sobre la base de las Cláusulas Contractuales Tipo (CCT). La lista completa y la explicación están en la política de privacidad.
9. RGPD y sus derechos
El responsable del tratamiento de Veesie es Manon BV (que opera como ClickForest), con sede en Bonheiden, Bélgica, número de empresa BE 0549.803.522.
- Puede exportar todos sus datos en formato JSON a través de Configuración, Privacidad.
- Puede eliminar usted mismo su cuenta y todos los datos asociados a través de Configuración, Eliminar cuenta. La eliminación es inmediata y se propaga en cascada a todos los datos vinculados.
- Todos sus derechos del RGPD (acceso, rectificación, supresión, limitación, portabilidad, oposición) se describen en detalle en nuestra política de privacidad.
10. Notificar una vulnerabilidad
¿Cree que ha encontrado un problema de seguridad? Háganoslo saber en hello@veesie.com. Investigamos cada notificación y le mantenemos informado. Le pedimos que no divulgue públicamente las vulnerabilidades antes de que hayamos podido resolverlas juntos (divulgación responsable).
Última actualización: 13 de junio de 2026. Volver a veesie.com