Saltar al contenido principal
Seguridad y cumplimiento

Dónde se ejecuta el código, dónde se guardan las credenciales y quién aprobó qué

Antes de delegar los procesos del negocio a la IA, conviene aclarar primero estas preguntas. Esta página las responde una a una, y cada respuesta corresponde a un mecanismo ya implementado en la plataforma.

Los pasos de código se ejecutan en un sandbox de DockerCredenciales cifradas con AES-256-GCMCompatible con despliegue privado
Seis líneas de defensa

Cada línea de defensa corresponde a un mecanismo ya implementado

Cada una de las seis tarjetas se ocupa de un aspecto, y sus puntos provienen de la implementación actual del producto.

SBXAislamiento de ejecución
  • Los pasos de código se ejecutan en un sandbox de Docker, con un contenedor nuevo en cada ejecución
  • Cada lenguaje usa su propia imagen de ejecución
  • La salida a la red del contenedor está controlada, con un tiempo de espera predeterminado de 30 segundos
AESSeguridad de credenciales
  • Las credenciales se almacenan cifradas con AES-256-GCM
  • La clave de cifrado admite rotación
  • Claude Pro / ChatGPT admiten el inicio de sesión por suscripción, sin necesidad de pegar la API Key
SSOIdentidad y acceso
  • 14 métodos de inicio de sesión con OAuth / OIDC, incluido OIDC propio
  • Las API Key se emiten con 6 ámbitos de privilegio mínimo
  • Disparar ejecuciones, leer resultados y responder a aprobaciones pueden usar cada uno su propia Key
GATEPuertas de aprobación
  • Los pasos marcados como manual_approval pausan la ejecución y notifican por tres canales: la App, el correo y la API
  • Los valores del formulario de aprobación se pueden modificar directamente, por ejemplo cambiar la puja antes de aprobar
  • Se rechaza automáticamente al vencer el tiempo, cuya duración es configurable
LOGAuditoría y trazabilidad
  • Línea de tiempo de ejecución, log de cada paso, y uso de tokens y costo registrados una a una
  • El proceso de ejecución se puede exportar como JSON / YAML
  • El plan Enterprise ofrece registros de auditoría
CAPCuotas y costes
  • El número de ejecuciones concurrentes se limita por plan: 1 / 5 / 15 / 50
  • El historial de ejecuciones se conserva según el plan; el plan Team, 180 días
  • El uso del asistente de IA tiene un límite diario; el plan Pro, 20 usos/día
Aislamiento de ejecución

Los pasos de código en 7 lenguajes van todos al sandbox

python, javascript, typescript, bash, ruby, lua, cli: sea cual sea el lenguaje, los pasos de código en producción se ejecutan en un contenedor de Docker.

Los pasos de código son la parte más potente de un workflow y también la que más necesita límites. Tanto si el script lo genera el asistente de IA como si lo escribe usted mismo, al ejecutarse entra en el mismo sandbox.

  • El contenedor se crea con la ejecución y se destruye al terminar
  • Cada lenguaje tiene su propia imagen de ejecución, y la salida a la red del contenedor está controlada
  • Las variables del workflow se inyectan como variables de entorno WF_VAR_*
  • Tiempo de espera predeterminado de 30 segundos; los artefactos se exportan por un canal independiente y se pueden descargar en el detalle de la ejecución
sandbox-profileproduction
# per-run sandbox profile (illustrative)
container:
  lifecycle: ephemeral              # create, run, destroy
  image: dedicated-per-language  # 7 runtimes
  network: controlled-egress
  timeout: 30s                     # default
env:
  WF_VAR_*: injected
artifacts:
  export: artifact-channel       # fetch from run detail

Configuración ilustrativa que sirve para explicar el comportamiento del sandbox; no es un archivo real del producto.

Perímetro de datos

Sus credenciales se usan únicamente para las llamadas que usted configure

En la nube con BYOK, el tráfico de modelos se conecta directamente al proveedor que elija; si necesita un perímetro más estricto, despliegue toda la plataforma en su propio entorno.

BIOKUso en la nube

Las llamadas a LLM usan sus propias claves y se envían directamente al proveedor que configure; la plataforma registra el uso de tokens y el costo una a una, y las claves se guardan cifradas con AES-256-GCM.

  • Elija entre más de 15 proveedores; dentro de un mismo workflow cada Agent puede usar un modelo distinto
  • Claude Pro / ChatGPT admiten la integración mediante inicio de sesión por suscripción
  • Se pueden integrar Ollama / LM Studio locales, con las llamadas a los modelos en su propia máquina
SELF-HOSTEDDespliegue privado

El plan Enterprise despliega toda la plataforma en su propio entorno, sin que los datos salgan de su perímetro.

  • Las definiciones de workflow, los registros de ejecución y las credenciales se almacenan en su propia infraestructura
  • Escalado horizontal con varias instancias, con las métricas de Prometheus integradas en su monitoreo existente
  • SSO y OIDC propio para conectar con su sistema de identidad
GDPR

Los derechos sobre los datos convertidos en funciones del producto

Exportación, eliminación y registro de consentimiento: las tres tienen un acceso a la función dentro del producto.

EXPORTExportación de datos

Exporte los datos personales por autoservicio dentro del producto, en correspondencia con el derecho a la portabilidad.

DELETEDerecho de supresión

La eliminación de la cuenta y de los datos asociados se inicia dentro del producto, en correspondencia con el derecho al olvido.

CONSENTRegistros de consentimiento

El consentimiento de cookies y las decisiones de autorización quedan registrados y son rastreables hasta el momento exacto.

Preguntas de seguridad, envíelas directamente por correo
Escriba sus preguntas concretas sobre arquitectura, sandbox, credenciales y cumplimiento a admin@braidrun.com; si prefiere verificarlo usted mismo primero, tras registrarse puede poner en marcha un workflow con el modo demo de las plantillas.