Un cumplimiento que puede verificar, no solo afirmaciones que leer.
Cada garantía de esta página se corresponde con un control que un auditor puede comprobar.
Los datos solo van adonde su política lo permite. La UE por defecto: aplicada, no prometida.
Cada petición se contrasta con su política antes del envío; si nada cumple, se bloquea en la compuerta. La UE por defecto. El enrutamiento directo a EE. UU. y China está disponible solo cuando lo añade, cada destino divulgado. Nada sale en silencio.
UE soberana: propiedad y alojamiento en la UE
Mistral y Scaleway son empresas francesas sobre infraestructura francesa. Ningún régimen de acceso de un gobierno extranjero las alcanza. Este es el nivel por defecto, el único activo hasta que usted lo cambie.
EE. UU. o China directos: disponible, opt-in, nunca ocultos
Los proveedores directos de EE. UU. y China están disponibles hoy. Solo enrutan si su política lo permite, cada uno señalado por jurisdicción y exposición al CLOUD Act, y la seudonimización mantiene los PII y secretos fuera del cable. Salir de la UE sigue siendo decisión suya.
Sus propios endpoints, o sus propios servidores
Conecte un modelo privado o autoalojado: la misma política, el mismo registro. O ejecute todo el plano de datos usted mismo con Sluis Edge, de modo que los prompts nunca transitan por Sluis.
Exactamente qué conservamos, exactamente qué borramos.
Una solicitud de supresión que destruye sus evidencias no es cumplimiento; es un riesgo. Sluis traza la línea con precisión: el contenido se va, la prueba de que el contenido se trató correctamente se queda.
- Contenido de peticiones y respuestas: los prompts y las respuestas conservados bajo la retención opcional (opt-in).
- Entradas de caché: las filas de caché exacta y semántica del tenant.
- Credenciales de proveedor: las claves API de upstream almacenadas, descifradas en ninguna parte.
- Referencias de contenido: cada puntero content_ref se pone a null.
- La cadena de metadatos de auditoría: audit_log + chain_heads quedan intactos, así que verify-chain sigue pasando.
- Hashes, no contenido: los eslabones SHA-256 permanecen; los cuerpos que cubrían ya no están.
- Decisiones de enrutamiento: qué región y qué proveedor sirvieron cada llamada.
- Metadatos de tokens y costes: el registro en micro-euros reales que respalda sus presupuestos.
Purga por TTL de retención
El contenido retenido y las filas de caché llevan caducidad. Una purga programada borra solo las filas que superan su TTL: un trabajo programable por cron, no una limpieza manual.
La retención de contenido es opcional
Por defecto, Sluis registra los metadatos, no el mensaje. Almacenar los cuerpos de prompts y respuestas es una elección por tenant, desactivada hasta que usted la active.
Cifrado AEAD en reposo
Cualquier contenido retenido, y toda la caché de respuestas (exacta + semántica), se sella con cifrado autenticado. Sin clave de contenido no hay caché: la pasarela recurre a no-cache.
Aislamiento estricto por tenant
Claves, políticas, cadenas de auditoría y caché están acotadas a un único tenant, derivado de la clave de la petición y aplicado en el hot path. Un tenant nunca puede leer los datos ni el registro de otro.
Entregue la cadena al auditor. Puede comprobarla sin confiar en nosotros.
Cada llamada se encadena por hash con la anterior. Altere un solo campo y todos los eslabones posteriores se rompen. Expórtelo como JSON Lines y vuelva a verificarlo sin conexión: la prueba viaja con los datos.
$ sluis audit verify-chain --tenant <id> → ok · 1,284,901 entries · genesis intact
La lista completa. Región y propiedad, dichas sin rodeos.
Estos son los únicos terceros que pueden llegar a tocar una petición, y solo cuando su política enruta hacia ellos. Nombramos al propietario legal junto a la región de alojamiento, porque bajo el CLOUD Act no son la misma pregunta.
Los datos sensibles se interceptan antes de llegar a un modelo.
La primera compuerta pasa 60 detectores deterministas sobre cada petición, en busca de PII, datos sanitarios y secretos, y la etiqueta antes de que un solo token siga su camino. Están hechos para datos europeos: un paquete de identificadores nacionales que valida por suma de control 12 países (el BSN neerlandés, el PESEL, el codice fiscale y más), dígitos de control IBAN, números de teléfono E.164. No una ocurrencia tardía centrada en EE. UU.
Los nombres derrotan a la coincidencia por patrón, así que la detección de nombres son cuatro capas que usted activa deliberadamente, cada una un equilibrio entre falsos positivos y latencia que usted controla: heurísticas de contexto, correlación de correos, un directorio de nombres por tenant y el propio modelo de reconocimiento multilingüe de Sluis. Ese modelo se incluye y corre dentro de su despliegue, así que un nombre nunca se envía a un tercero para analizarlo.
Trabaje con datos personales y secretos. El modelo nunca los ve.
Un control que su auditor puede verificar: los PII y secretos se convierten en tokens estables antes de que el prompt salga de su red, así que el proveedor solo ve tokens. Los valores reales se restauran a la vuelta, y el mapa que los enlaza nunca se escribe en disco.
Todo lo que piden sus revisores, listo para entregar.
El papeleo que normalmente lleva tres semanas de idas y vueltas. Solicite cualquiera de estos documentos directamente; no hace falta una llamada comercial para leer un DPA.
Plantilla de DPA
Nuestro acuerdo de encargo de tratamiento estándar, con las obligaciones del artículo 28 y las cláusulas contractuales tipo de la UE ya incorporadas.
Solicitar el DPA→Flujo de datos y subencargados
Cómo una petición atraviesa las tres compuertas, por dónde puede salir y qué subencargado gestiona cada ruta.
Leer el documento→Lista de subencargados
La divulgación por tenant: cada proveedor que sus claves y su política realmente habilitan, con región y propietario legal, exportada bajo demanda.
Exportar para su tenant→Exportación de auditoría
El registro completo encadenado por hash en JSON Lines, reverificable sin conexión con verify-chain. Traiga sus propias herramientas.
Ver el formato→Traiga a sus auditores. Nosotros ponemos la cadena.
Residencia aplicada en cada petición, contenido que puede borrar sin perder la prueba y un registro que cualquiera puede comprobar sin conexión. Los controles son reales. Venga a probarlos.
¿Comprador regulado? Pregunte por Sluis Edge →