Confianza y seguridad en SOWA Privacy

Un breve y honesto resumen de adónde van los datos, qué puede y no puede ver la extensión, y dónde están los límites de confianza. El núcleo de detección es de código abierto – cada afirmación a continuación es verificable en el repositorio.

Privacidad por arquitectura, no por promesas

La garantía más sólida es la que no requiere confiar en nosotros. SOWA Privacy está construido para que tus datos sensibles físicamente nunca lleguen a nosotros:

Detección 100 % localLos datos personales se detectan y enmascaran en tu navegador, antes de enviar el prompt: no hay nada que interceptar.
Ningún dato de prompts en nuestros servidoresNunca recibimos, almacenamos ni intermediamos tus prompts, documentos ni las respuestas de la IA.
Sin telemetríaLa extensión no envía datos a casa: no rastrea tus prompts, detecciones ni uso.
Código abiertoEl motor de detección es público: auditable línea por línea, por ti o por un tercero.

Flujo de datos de un vistazo

SOWA Privacy es una extensión de Chrome. El recorrido que sigue tu texto cuando usas un chatbot de IA compatible:

  1. Escribes en el campo de entrada del chatbot.El texto nunca abandona el navegador en esta etapa.
  2. El script de contenido de la extensión lee la entrada y ejecuta la detección localmente.Regex + un modelo NER local ejecutado en tu navegador mediante WebAssembly / WebGPU.
  3. Las entidades detectadas se reemplazan con marcadores de posición neutros (p. ej. [PERSON_1]).La asignación de original a marcador de posición se almacena en chrome.storage.local en tu dispositivo.
  4. El prompt con los marcadores de posición se envía al endpoint normal del chatbot.El proveedor de IA solo ve el texto anonimizado. SOWA Privacy no actúa como proxy de red entre tú y el proveedor.
  5. Cuando llega la respuesta de la IA, la extensión repersonaliza los marcadores de posición en tu navegador usando la asignación local.Lees la respuesta con los nombres reales; el proveedor de IA nunca los vio.

Para el registro de auditoría opcional en los planes Business y Enterprise, los registros de acciones se hashean localmente y se envían únicamente al servidor que tú designes (tu propia infraestructura o un inquilino que alojamos para ti bajo contrato). No se envían a un registro central operado por SOWA.

Permisos del navegador y por qué se necesita cada uno

Permisos de la extensión Chrome Manifest V3, con la justificación de cada uno:

El script de contenido declara <all_urls> para que la detección esté disponible en cualquier chatbot de IA que uses, incluidos los futuros que añadamos. Los permisos son estáticos, declarados en el Manifest público y observables en chrome://extensions/?id=….

Registro de auditoría opcional controlado por el cliente

El registro de auditoría es opcional en los planes Business y Enterprise y registra acciones, no el contenido del chat. Ejemplos de lo que se incluye en un registro:

Lo que no contiene: texto del prompt, texto de la respuesta de la IA, valores sensibles originales ni asignaciones de marcadores de posición.

Los registros se hashean localmente antes de la transmisión al servidor que designes. Los clientes Enterprise pueden alojar el endpoint del registro de auditoría dentro de su propio perímetro de cumplimiento para que SOWA Privacy nunca acceda a la ruta de datos.

Limitaciones conocidas

Preferimos ser específicos antes que seguros. Cosas que SOWA Privacy no hace o no puede garantizar:

Código abierto y auditabilidad

El núcleo de detección está publicado en github.com/Sowa-Privacy. Cualquiera puede leer el código que procesa los prompts, confirmar que no escribe en disco salvo en los almacenes locales documentados explícitamente, y verificar que no se recopila telemetría. Tratamos el repositorio como la referencia autorizada para las afirmaciones de esta página.

Protección de datos & RGPD

SOWA Privacy está diseñado para cumplir el RGPD minimizando lo que procesamos. Como la detección se ejecuta localmente, las cuestiones de base jurídica y de transferencia internacional que dominan la mayoría de las herramientas de IA ni siquiera se plantean para el contenido de tus prompts: nunca sale de tu dispositivo.

Los pocos datos que conservamos existen para operar el servicio, no el producto:

Hay un Acuerdo de Tratamiento de Datos (DPA) disponible para revisiones de compras y del DPO a través del formulario de contacto. Consulta también nuestra Política de Privacidad.

Subencargados del tratamiento

Los terceros que tratan datos limitados de cuenta y facturación en nuestro nombre. Ninguno de ellos recibe jamás tus prompts, documentos ni valores detectados.

ProveedorFinalidadDatos implicados
SupabaseAutenticación & base de datos de cuentasCorreo electrónico, perfil de cuenta
StripeFacturación de suscripciones & pagosDatos de facturación (los datos de tarjeta los guarda Stripe, nunca nosotros)
VercelAlojamiento del sitio web & la APIRegistros de solicitudes estándar
PostHog (EU)Analítica web sujeta a consentimientoEventos de uso anonimizados (solo con aceptación)

La lista completa y actualizada se mantiene en nuestro DPA y se facilita a petición.

Certificaciones & hoja de ruta de garantías

Actualmente no poseemos ninguna de las certificaciones siguientes y no reclamaremos ninguna hasta que haya sido emitida formalmente. Aquello en lo que trabajamos:

Notificación de una vulnerabilidad

Si crees haber encontrado un problema de seguridad, contacta con nosotros antes de divulgarlo públicamente. Nuestro objetivo es acusar recibo en dos días hábiles y proporcionar una evaluación inicial en cinco.

Correo electrónico: security@sowaprivacy.ai (buzón supervisado; publicación de clave PGP pendiente – se añadirá antes del lanzamiento público)

Actualmente no gestionamos un programa de recompensas por errores remunerado. Sí mencionamos públicamente a los informadores en las notas de versión si lo solicitan.

Paquete de documentación de cumplimiento

Para revisiones de adquisición y del DPO, los siguientes documentos están disponibles bajo solicitud a través del formulario de contacto:

Para conocer nuestra situación respecto a certificaciones formales, consulta la hoja de ruta de garantías anterior.