Programa de Seguridad de la Información

1. Propósito y alcance

Renji Labs, Inc. («Renji Labs», «nosotros», «nuestro» o «nos») opera Kaiary, una aplicación de diario familiar impulsada por inteligencia artificial. Este Programa de Seguridad de la Información («Programa») describe las salvaguardas administrativas, técnicas y físicas que mantenemos para proteger la confidencialidad, integridad y disponibilidad de la información personal procesada en relación con Kaiary, incluido el contenido familiar, los datos biométricos y la información de las cuentas.

Este Programa busca cumplir con nuestras obligaciones bajo las leyes aplicables, incluida la Norma de Protección de la Privacidad en Línea de los Niños (COPPA), la Ley de Privacidad de la Información Biométrica de Illinois (BIPA), las leyes estatales sobre información biométrica y seguridad de la información (como la CUBI de Texas, la RCW 19.375 de Washington y la Ley SHIELD de Nueva York), la Ley de Privacidad del Consumidor de California (modificada por la CPRA) y obligaciones equivalentes en otras jurisdicciones donde operamos.

2. Definiciones

• Información personal. Cualquier información que identifique, se relacione con, describa o pueda razonablemente vincularse con una persona o un hogar en particular, según las leyes aplicables.
• Contenido familiar. Las entradas de diario, fotos, videos, grabaciones de audio, leyendas y eventos importantes que los usuarios crean o suben a Kaiary.
• Datos biométricos. Vectores de geometría facial (incrustaciones faciales o «face embeddings») extraídos de las fotos cuando un usuario opta por el reconocimiento facial, según se describe con más detalle en nuestra Política de privacidad y en nuestra Política de retención de datos.
• Información personal de menores. Información personal de cualquier persona menor de 18 años que se procese en relación con Kaiary, incluidas fotografías, videos, grabaciones de voz, nombres y datos biométricos de menores que aparezcan como sujetos en el contenido familiar.
• Personal. Empleados, contratistas y agentes de Renji Labs con acceso a sistemas o datos cubiertos por este Programa.

3. Gobernanza y responsabilidades

La responsabilidad de este Programa se distribuye de la siguiente manera:

• Director ejecutivo (CEO): es propietario del Programa y aprueba los cambios sustantivos.
• Coordinador de seguridad designado: una persona designada responsable de la administración diaria del Programa, incluida la coordinación de la respuesta a incidentes, las revisiones de proveedores y la revisión anual de este documento. Puedes contactar al coordinador actual en security@kaiary.ai.
• Liderazgo de ingeniería: implementa y opera las salvaguardas técnicas descritas en la Sección 7.
• Todo el personal: es responsable de cumplir con este Programa y de informar incidentes de seguridad sospechosos a través de los canales descritos en la Sección 11.

4. Clasificación de datos

Clasificamos los datos en las siguientes categorías para que los controles puedan aplicarse de manera proporcional a su sensibilidad:

• Nivel 1 — Altamente sensible. Datos biométricos (incrustaciones faciales), credenciales de autenticación y secretos, identificadores relacionados con pagos y registros de consentimiento.
• Nivel 2 — Sensible. Contenido familiar (fotos, videos, entradas de diario, audio), nombres, fechas de nacimiento, datos de contacto, ubicación precisa e información que muestre a menores.
• Nivel 3 — Confidencial. Metadatos de cuenta, identificadores de dispositivo, tokens de notificación push, registros de suscripción y facturación, y eventos de analítica de producto vinculados a un identificador de usuario.
• Nivel 4 — Interno. Datos operativos agregados, anonimizados o no personales.

La información personal de menores recibe protección de Nivel 1 sin importar dónde aparezca en el sistema.

5. Evaluación de riesgos

Realizamos una evaluación de riesgos al menos una vez al año, y siempre que haya un cambio sustantivo en nuestras actividades de procesamiento, infraestructura o leyes aplicables. La evaluación considera:

• Las amenazas internas y externas razonablemente previsibles para la confidencialidad, integridad y disponibilidad de la información personal
• La probabilidad y el impacto potencial de cada amenaza
• La suficiencia de los controles vigentes para mitigar esas amenazas
• Los riesgos asociados específicamente con los datos biométricos, los datos de menores y el contenido familiar

Los hallazgos se documentan y se utilizan para impulsar la remediación. El coordinador de seguridad designado da seguimiento a los riesgos abiertos hasta su cierre.

6. Salvaguardas administrativas

6.1 Controles de personal

Todo el personal con acceso a información personal está sujeto a:

• Verificaciones de antecedentes en la medida en que lo permita la ley aplicable
• Acuerdos de confidencialidad y uso aceptable como condición para tener acceso
• Aprovisionamiento de acceso basado en roles y desaprovisionamiento oportuno cuando cambia el rol o la persona deja la organización

6.2 Gestión de accesos

El acceso a los sistemas que contienen información personal se rige por el principio de mínimo privilegio:

• El acceso a producción requiere autenticación multifactor y se limita al personal de ingeniería con una necesidad documentada
• Las acciones privilegiadas se registran y se revisan
• Las revisiones de acceso se realizan al menos trimestralmente para confirmar que los niveles actuales siguen siendo apropiados
• Las cuentas compartidas están prohibidas; cada acción es atribuible a una persona identificada

6.3 Capacitación en seguridad

Todo el personal completa una capacitación en seguridad y privacidad al incorporarse y al menos una vez al año después. La capacitación cubre, como mínimo: reconocimiento de phishing, prácticas de manejo seguro de información personal, las protecciones reforzadas que se aplican a los datos de menores y a los datos biométricos, el proceso de informe de incidentes y los requisitos de este Programa.

6.4 Gestión de riesgos de proveedores y terceros

Antes de contratar a cualquier tercero que reciba o pueda acceder a información personal, evaluamos su postura de seguridad, sus compromisos contractuales, sus prácticas con sub-procesadores y cualquier certificación pertinente. Los proveedores significativos están sujetos a:

• Acuerdos escritos que incluyan disposiciones de confidencialidad, seguridad, notificación de incidentes y tratamiento de datos
• Reevaluación periódica según la sensibilidad de los datos compartidos
• Restricciones sobre las categorías de datos que pueden recibir — por ejemplo, nuestros socios de publicidad y analítica están contractualmente limitados a los datos de eventos e identificadores descritos en nuestra Política de privacidad y nunca reciben contenido familiar, datos biométricos ni información personal de menores

7. Salvaguardas técnicas

7.1 Cifrado

• En tránsito: todas las conexiones entre los dispositivos de los usuarios, nuestros servidores y nuestros proveedores de infraestructura están protegidas con TLS 1.2 o superior (TLS 1.3 cuando está disponible).
• En reposo: el contenido familiar almacenado en Amazon S3 está cifrado con AES-256 en el lado del servidor. El almacenamiento en la base de datos (incluidas las incrustaciones faciales almacenadas en PostgreSQL con la extensión pgvector) está cifrado en reposo con el cifrado de AWS RDS.
• Secretos y claves: las claves de API, credenciales de base de datos y claves de cifrado se almacenan en AWS Secrets Manager y se rotan en un calendario documentado. Los secretos nunca se versionan en el código fuente.

7.2 Autenticación y autorización

• La autenticación de usuarios la proporciona Supabase Auth, que admite Iniciar sesión con Apple, Iniciar sesión con Google y códigos de un solo uso por SMS a través de Twilio.
• El acceso del personal a herramientas administrativas requiere autenticación multifactor.
• La autorización a nivel de aplicación impone el aislamiento de datos por familia: cada consulta a la base de datos está limitada por la pertenencia a la familia del usuario que la solicita, por lo que un usuario no puede recuperar datos pertenecientes a otra familia.
• El contenido multimedia entregado por nuestra red de distribución de contenido está protegido mediante cookies firmadas con alcance por sesión, con renovación automática y caducidades cortas.

7.3 Seguridad de red y aplicaciones

• Las cargas de trabajo de producción se ejecutan dentro de una nube privada virtual con controles restrictivos de tráfico entrante y saliente.
• Los servicios están detrás de un firewall de aplicaciones web administrado y de controles de limitación de tasa.
• Las dependencias de software se analizan en busca de vulnerabilidades conocidas, y los hallazgos de alta gravedad se rastrean hasta su remediación.
• Los cambios de código son revisados por al menos un ingeniero distinto del autor antes de fusionarse, y los cambios sensibles a la seguridad reciben revisión adicional.

7.4 Registro, monitoreo y detección

• Los eventos de aplicación, infraestructura y seguridad se registran de forma centralizada.
• Monitoreamos actividad de autenticación anómala, escaladas de privilegios y patrones consistentes con abuso o compromiso.
• Los datos de fallos y errores son capturados por Sentry y revisados por el equipo de ingeniería con cadencia regular.
• Los registros se conservan durante los períodos especificados en nuestra Política de retención y destrucción de datos.

7.5 Gestión de vulnerabilidades y parches

• Los sistemas operativos, imágenes de contenedor y dependencias de aplicación se mantienen al día con los parches de seguridad.
• Las vulnerabilidades críticas se priorizan para remediación según el riesgo que representan.
• Apoyamos la divulgación responsable de vulnerabilidades y agradecemos los reportes en security@kaiary.ai.

7.6 Desarrollo seguro de software

• Las prácticas de ingeniería incluyen revisión de código, pruebas automatizadas y análisis estático.
• Las operaciones sensibles — como el procesamiento biométrico, el registro de consentimiento y el acceso a contenido multimedia — se prueban para verificar la aplicación correcta de los controles de acceso.
• Los entornos previos a producción usan datos sintéticos o desidentificados; los datos de producción no se copian a entornos de desarrollo.

8. Salvaguardas físicas

Kaiary no opera sus propios centros de datos. Los datos de producción residen en proveedores de infraestructura en la nube (principalmente Amazon Web Services) que mantienen controles de seguridad física descritos en sus certificaciones publicadas, incluidas SOC 2 Tipo II e ISO/IEC 27001. Las oficinas de Renji Labs y los dispositivos del personal están protegidos mediante gestión de dispositivos, cifrado de disco completo, bloqueo automático de pantalla y controles estándar de acceso físico.

9. Protecciones especiales para la información personal de menores

Aunque las cuentas de Kaiary solo pueden ser creadas por personas mayores de 18 años, el contenido familiar incluye con frecuencia fotografías, videos, grabaciones de audio e información biográfica sobre menores. Tratamos toda esa información como Información personal de menores y aplicamos salvaguardas reforzadas:

• La Información personal de menores se clasifica como Nivel 1 (Altamente sensible)
• Se cifra en tránsito y en reposo, y está limitada por familia en la capa de aplicación, por lo que nunca puede devolverse a alguien fuera del grupo familiar
• Nunca se comparte con nuestros socios de publicidad o analítica
• Es procesada exclusivamente por infraestructura de IA auto-alojada bajo el control directo de Renji Labs; ningún servicio de IA de terceros recibe imágenes, video o audio que muestren a menores
• Los plazos de retención de la Información personal de menores se rigen por nuestra Política de retención y destrucción de datos y no permiten retención indefinida

10. Protecciones especiales para los datos biométricos

Si un usuario opta por el reconocimiento facial, Kaiary extrae y almacena vectores de geometría facial (incrustaciones numéricas) derivados de las fotos. Protegemos esos datos con los siguientes controles adicionales:

• Procesamiento auto-alojado. La detección y el reconocimiento facial los realiza Renji Face, un sistema interno que se ejecuta sobre infraestructura bajo nuestro control directo. Las incrustaciones faciales nunca se transmiten a servicios de IA de terceros, anunciantes, proveedores de analítica ni intermediarios de datos.
• No hay imágenes faciales en bruto para coincidencias. Solo se almacena la incrustación matemática para el reconocimiento; la coincidencia se realiza contra la incrustación, no contra la foto original.
• Aislamiento por familia. Las incrustaciones faciales están particionadas por identificador de familia en la capa de base de datos y no pueden coincidir entre familias.
• Consentimiento escrito documentado. La recopilación biométrica requiere un acto de consentimiento registrado que captura el propósito, la retención, la dirección IP, el agente de usuario y la marca temporal antes de poder cargar fotos faciales.
• Eliminación independiente. Los usuarios pueden eliminar los datos biométricos sin eliminar las fotos subyacentes.
• Límites de retención. Los datos biométricos se destruyen según los plazos de nuestra Política de retención y destrucción de datos.
• Sin venta. No vendemos, arrendamos, intercambiamos ni obtenemos beneficios de los datos biométricos.

11. Respuesta a incidentes

Mantenemos un proceso documentado de respuesta a incidentes para eventos que puedan comprometer la confidencialidad, integridad o disponibilidad de la información personal. El proceso cubre:

• Detección y reporte. El personal debe informar los incidentes sospechosos a security@kaiary.ai sin demora.
• Triage. El coordinador de seguridad designado evalúa el alcance, la gravedad y las categorías de datos afectadas.
• Contención y remediación. El liderazgo de ingeniería ejecuta los pasos de contención, preserva la evidencia y remedia la causa subyacente.
• Notificación. Cuando lo requiera la ley o un contrato, notificamos a los usuarios afectados, reguladores y socios dentro de los plazos aplicables, incluido el estándar de notificación de 72 horas del RGPD, las leyes estatales estadounidenses de notificación de incidentes y los requisitos contractuales con nuestros proveedores de infraestructura.
• Revisión posterior al incidente. Los incidentes significativos están sujetos a una revisión escrita posterior que identifica la causa raíz, los factores contribuyentes y las acciones correctivas.

12. Continuidad del negocio y respaldos

El contenido familiar y el estado de la base de datos se respaldan en un calendario rutinario, con respaldos cifrados en reposo y almacenados en instalaciones geográficamente separadas operadas por nuestros proveedores de infraestructura. Los respaldos se conservan según los plazos de nuestra Política de retención y destrucción de datos y se prueban periódicamente para confirmar su capacidad de restauración. Cuando un usuario elimina datos, propagamos esa eliminación a los sistemas activos de inmediato y aplicamos el calendario documentado de rotación de respaldos para que los datos se purguen de todas las copias retenidas.

13. Revisión y modificación del Programa

Este Programa se revisa al menos una vez al año y se actualiza cuando hay un cambio sustantivo en nuestras actividades de procesamiento, infraestructura, relaciones con proveedores o leyes aplicables. La fecha de «Última actualización» en la parte superior de este documento refleja la revisión más reciente. Los cambios sustantivos se resumen en nuestra Política de privacidad y pueden comunicarse a los usuarios a través de la aplicación o por correo electrónico.

14. Contacto

Para preguntas sobre este Programa o para reportar un problema de seguridad sospechado, comunícate con:

Este documento es el resumen público del Programa Escrito de Seguridad de la Información de Renji Labs. Los procedimientos internos, los diseños de los sistemas y los runbooks operativos contienen detalles adicionales que no se divulgan públicamente por motivos de seguridad.