Tus documentos son tuyos.Tu privilegio profesional, también.
Lo que subes a Temis no entrena modelos. Cómo lo protegemos, en concreto — sin marketing, con la arquitectura real.
Sin tarjeta para empezar. Sin capacitación. Sin demo obligatoria.
01Tu información nunca entrena modelos.
Temis usa Google Vertex AI (Gemini) desplegado en us-central1. Bajo este servicio, Google no retiene entradas ni salidas para entrenar sus modelos — es una garantía contractual de Google Cloud, no una promesa nuestra.
Implicación práctica: el manual de operaciones, contrato de franquicia o modelo financiero que suba tu equipo no aparecerá en ningún modelo público, ni en futuras versiones de Gemini.
02Cifrado y transporte.
| Capa | Mecanismo |
|---|---|
| Tránsito (browser ↔ API) | TLS 1.2+ obligatorio (HTTPS) |
| Tránsito (API ↔ base de datos) | sslmode=require + VPC privada |
| Reposo (PostgreSQL, GCS, Secret Manager) | AES-256 gestionado por Google |
| Tránsito interno (Cloud Run ↔ Cloud SQL) | Conector privado VPC, IPv4 pública deshabilitada |
03Almacenamiento de documentos.
Los archivos que sube tu equipo se guardan en buckets dedicados de Google Cloud Storage con versionado activo, acceso uniforme a nivel IAM, políticas de ciclo de vida (Nearline → Coldline → archivado) y credenciales en GCP Secret Manager con rotación notificada.
04Autenticación y acceso.
OAuth2 (Google, Microsoft, Apple) + JWT firmados. MFA (TOTP + códigos de respaldo) soportado. Sesiones gestionadas en Redis con invalidación al cerrar sesión.
05Bitácora inmutable de auditoría.
Cada acción relevante — acceso, edición, exportación — se registra en una tabla UserAuditLog diseñada como inmutable (sin operación de update).
Los logs operativos de la infraestructura se retienen 400 días en Google Cloud Logging — más allá del estándar de 30 días — específicamente para cumplir requisitos de auditoría posterior.
Si en seis meses necesitas saber quién consultó cierto documento, podemos responderte.
06Red y defensa perimetral.
VPC privada con subredes dedicadas (backend / base de datos / conector). Cloud Armor (WAF) con reglas OWASP Top 10 y rate limiting (100 req/min general, 300 req/min API). reCAPTCHA v3 en formularios públicos. Binary Authorization: solo imágenes Docker firmadas pueden desplegarse en producción. Base de datos sin IP pública.
07Respaldos y recuperación.
Point-in-Time Recovery activo: restauramos la base a cualquier punto dentro de los últimos 7 días. 14 respaldos automáticos retenidos. Versionado activo en todos los buckets de documentos.
08Lo que estamos construyendo.
Para que decidas con información completa:
SOC 2 e ISO 27001: en proceso, con auditoría planeada para 2026–2027.
CMEK (claves gestionadas por el cliente) está disponible bajo solicitud, no por defecto.
Residencia de datos en México: actualmente operamos en us-central1 (EE.UU.). Migración a región México disponible para contratos enterprise con volumen mínimo.
Preguntas que nos hacen.
- ¿Mi cliente puede saber que usé Temis?
- Es tu decisión profesional. Temis no aparece en los documentos que generas.
- ¿Qué pasa si un tercero pide acceso a mi información?
- Solicitudes legítimas requieren orden judicial fundada y motivada. Te avisamos antes de responder, cuando la ley lo permita.
- ¿Quién en Temis puede ver mis documentos?
- Nadie de forma rutinaria. Solo personal técnico autorizado, en investigaciones específicas con tu autorización previa.
- ¿Si cancelo, qué pasa con mis documentos?
- Se eliminan en el plazo definido por contrato y entregamos constancia de borrado.
- ¿Tienen aviso de privacidad?
- Sí, publicado y vigente en /privacy.
El privilegio profesional es lo que firma tu cédula. Temis está construido para no tocarlo.