[ Seguridad y confianza ]

Una herramienta que protege tus datos — y hace que sigan siendo tuyos.

Tracehold vigila lo que tu equipo envía a la IA, así que la primera pregunta que te harás es qué hacemos nosotros con esos datos. La respuesta es sencilla: la comprobación ocurre en el dispositivo, los prompts nunca salen del navegador por defecto, todo está cifrado, y cualquiera que quiera ver un elemento sensible tiene que solicitarlo — y queda registrado. Todo está construido y alojado en la UE.

Los prompts se quedan en el navegador Todo cifrado Construido y alojado en la UE
[ Pilares de confianza ]

Construido para proteger tus datos — y no interponerse en tu camino

Cuatro compromisos que se mantienen sea cual sea tu plan.

En el dispositivo
Dónde ocurre la comprobación

Vemos lo que está a punto de enviarse a la IA antes de que salga de la máquina.

Privado por defecto
Lo que sale del navegador

El propio prompt nunca sale de la pestaña — solo conocemos el tipo de hallazgo, su gravedad y cuándo ocurrió.

Cifrado
Todo lo que sí almacenamos

A prueba de manipulaciones, y los datos de cada cliente están totalmente aislados de los demás.

UE
Construido y alojado en Europa

Para que la herramienta que protege tus datos no se convierta en un nuevo problema de transferencia de datos.

[ Detección en el dispositivo ]

Comprobamos en el dispositivo. Tus palabras siguen siendo tuyas.

Todo el sentido de Tracehold es evitar que los datos sensibles salgan — así que no tendría ningún sentido que nosotros mismos los tomáramos. La detección ocurre justo en el dispositivo, antes de que nada llegue a una herramienta de IA. Cuando sí necesitamos conservar un registro, está cifrado, y verlo requiere permiso y deja rastro.

Detectado en el origen

En el navegador, el prompt que escribe tu equipo nunca sale de la pestaña para ser comprobado — lo miramos ahí mismo. Cuando se escanea un fichero en busca de contenido sensible, lo leemos, devolvemos lo que encontramos y luego lo descartamos. El documento nunca se conserva.

Cifrado, y solo revelado a petición

En el escritorio, Tracehold puede conservar el texto exacto que activó una alerta — para que un administrador pueda distinguir una fuga real de una falsa alarma. Está cifrado todo el tiempo. Nadie lo ve por casualidad: revelarlo requiere un permiso específico y queda registrado, así que siempre sabes quién lo miró, cuándo y qué exactamente.

Ni siquiera nuestro propio personal puede curiosear

Nuestras herramientas internas están diseñadas para ser inofensivas: solo pueden leer, nunca cambiar nada, y no pueden abrir el contenido cifrado. La protección se mantiene incluso desde dentro.

Dicho con honestidad: la regla es «privado por defecto, revelado solo cuando alguien con permiso lo solicita — y queda registrado». En el escritorio conservamos deliberadamente el texto exacto detrás de una alerta para poder distinguir una fuga real de una falsa alarma — y esa copia está cifrada y sellada hasta que un administrador autorizado la revela. Siempre te diremos exactamente dónde puede existir un elemento sensible y cómo está protegido.
[ Ver · decidir · proteger · registrar ]

Qué viaja realmente — y qué se queda donde está

Una única comprobación en el dispositivo lo decide todo. La red solo transporta el resultado, nunca el contenido.

Permitir

Los prompts limpios pasan directamente, sin modificar.

ana@acme.io permitido

Observar

El contenido marcado se registra para tener visibilidad, sin interrumpir a nadie.

ana@acme.io registrado

Redactar

La parte sensible se oculta o se elimina — para que el resto pueda seguir adelante.

ana@acme.io [email] redactado
Nuestra regla de diseño número uno: el prompt nunca sale del navegador por defecto.
[ Cifrado y firma ]

Todo está cifrado y firmado

Todo lo que almacenamos está protegido y a prueba de manipulaciones. Los datos de conexión a tus otros sistemas nunca se te muestran en claro, y un servidor mal configurado simplemente se niega a arrancar. Los valores seguros por defecto no son una opción que tengas que recordar.

Cifrado en reposo

Tus registros almacenados y cada conexión a tus otras herramientas están cifrados, y las credenciales sensibles se enmascaran en nuestras pantallas e informes — nunca se muestran en texto plano.

A prueba de manipulaciones, por diseño

Los datos que conservamos están firmados, así que cualquier cambio sería evidente. Y el sistema se niega a funcionar con configuraciones débiles — un servidor que no esté configurado de forma segura ni siquiera arranca.

Cifrado también en tránsito

El tráfico entre los componentes de Tracehold siempre está cifrado de extremo a extremo, incluida la conexión con su propia base de datos — no hay ningún camino por el que tus datos viajen sin protección.

En términos sencillos: piénsalo como una caja fuerte que se cierra sola. Los elementos sensibles entran cifrados, el cierre deja un sello que evidencia cualquier manipulación, y la caja fuerte no se abre en absoluto si las claves no están configuradas correctamente. Ni siquiera quienes la construyeron pueden leer lo que hay dentro — solo pueden ver que la caja fuerte existe y que el sello está intacto.

Sin puerta trasera maestra. Sin «confía en nosotros». Las protecciones están integradas en cómo funciona el producto, no añadidas como una promesa.

[ Aislamiento de clientes · denegar por defecto ]

Los datos de cada cliente están totalmente aislados

Tu información vive en su propio espacio delimitado. Una empresa nunca puede ver los datos de otra — ni por accidente ni a propósito. La separación se refuerza en lo más profundo del sistema, no queda a merced de una configuración que alguien pueda olvidar.

Aislado en el núcleo

La línea entre clientes se traza en el nivel más profundo del sistema. Si una solicitud intentara alguna vez cruzar esa línea, simplemente no obtiene nada — el valor por defecto es «denegar», no «permitir».

Pensado para grupos de equipos

¿Gestionas varios equipos o unidades de negocio? Una entidad matriz puede ver todo su grupo, mientras que los cambios se quedan bloqueados en su ámbito. Ver un equipo nunca te permite modificarlo.

Defensa en profundidad

No dependemos de una única barrera. La aplicación mantiene separados los datos de cada cliente, y el sistema subyacente lo refuerza de nuevo — así que incluso un descuido queda contenido, no expuesto.

En resumen: tus datos son tuyos y de nadie más, y eso está garantizado por cómo está construida la plataforma — no por esperar que cada consulta se comporte bien. Ver la arquitectura de la plataforma →
[ Acceso y actualizaciones firmadas ]

Solo entran las personas adecuadas — y solo se ejecuta código de confianza

El inicio de sesión está protegido frente a los ataques que realmente importan, y cada actualización de Tracehold se verifica antes de poder llegar a tu equipo. Una herramienta de seguridad tiene que ser al menos tan fiable como aquello que protege.

Inicia sesión con tu propio proveedor de identidad

Usa Microsoft Entra u Okta para dar acceso a tu gente, vinculado a tu dominio corporativo verificado. El inicio de sesión está reforzado, con protección contra fuerza bruta y autenticación multifactor opcional — solo entran las personas adecuadas, con el alcance correcto para cada equipo.

Claves de solo lectura para tus herramientas

Si conectas Tracehold a tus propios sistemas, las claves de acceso son de solo lectura y están estrictamente delimitadas — pueden mirar, nunca cambiar. Abren el mismo espacio privado que un inicio de sesión normal, nada más amplio.

Cada actualización está firmada y verificada

La extensión de navegador, los agentes de escritorio y las reglas de detección están todos firmados antes de que los enviemos, y se verifican al llegar. El producto no acepta nada sin firmar, y una versión antigua no puede colarse de nuevo para reintroducir un problema ya conocido.

Funciona con las herramientas que tu equipo ya usa

Tracehold cubre las herramientas de IA que tu equipo ya usa — incluidas las que nadie aprobó — en el navegador, el escritorio y las herramientas de desarrollo y terminal. Se despliega como una extensión de navegador que instalas con tu gestión de dispositivos habitual: sin proxy, sin cirugía de red.

La mayoría de los equipos están protegidos en 2–4 semanas, con precios honestos y publicados — Free, Insight (€40/usuario·mes) y Governance (€60/usuario·mes).

Mapeo de cumplimiento en vivo que puedes mostrar al consejo. Más allá de proteger tus datos, Tracehold mapea el riesgo de IA frente a GDPR, NIS2, ISO 27001 y SOC 2 en una vista clara y siempre actualizada — para que puedas ver dónde estás y demostrarlo. Ver el cumplimiento en detalle →
[ FAQ · preguntas de confianza ]

Las preguntas que hacen los compradores sobre confianza

¿Almacenáis nuestros prompts o nuestros datos?
Por defecto, no. La comprobación ocurre en el dispositivo, en el navegador, y el propio prompt nunca sale de la pestaña. Solo conocemos lo esencial — qué tipo de cosa se detectó, con qué gravedad y cuándo. Cuando se escanea un fichero, lo leemos, devolvemos lo que encontramos y lo descartamos. En el escritorio, Tracehold puede conservar el texto exacto detrás de una alerta para que un administrador pueda distinguir una fuga real de una falsa alarma — pero está cifrado y solo se revela cuando alguien con permiso lo solicita, y eso queda registrado.
¿Podría nuestro propio personal leer lo que escribió nuestro equipo?
No. Todo lo sensible que conservamos está cifrado, y la única forma de verlo es mediante la revelación auditada — que requiere un permiso específico y queda registrada. Nuestras herramientas internas son deliberadamente limitadas: solo pueden leer, nunca cambiar nada, y no pueden abrir el contenido cifrado. La protección se mantiene incluso desde dentro.
¿Cómo evitáis que los datos de un cliente lleguen a otro?
Los datos de cada cliente están totalmente aislados, en su propio espacio delimitado, reforzado en el nivel más profundo del sistema. Una empresa simplemente no puede acceder a la información de otra — el valor por defecto es “denegar”. Y no dependemos de una única barrera: la aplicación mantiene las cosas separadas y el sistema subyacente lo refuerza de nuevo, de modo que incluso un error queda contenido en lugar de expuesto.
¿Cómo evitáis que una actualización defectuosa llegue a los agentes?
Todo lo que publicamos — la extensión de navegador, los agentes de escritorio y las reglas de detección — se firma antes de salir de nuestros sistemas y se verifica antes de aplicarse. El producto no acepta nada sin firmar, y una versión anterior no puede colarse de nuevo para reintroducir un problema ya conocido. Lo que actualiza una herramienta de seguridad tiene que ser al menos tan fiable como la propia herramienta.
¿Puede una comprobación de falso positivo anular un secreto confirmado?
No. Una vez que algo queda confirmado estructuralmente — una clave de API real, un número de tarjeta que supera la validación de Luhn, una clave privada — ninguna comprobación secundaria puede rebajarlo. Los hallazgos críticos y de gravedad alta tienen un suelo de acción obligatorio: el bloqueo o la redacción se produce siempre. Las comprobaciones secundarias solo pueden descartar una falsa alarma en hallazgos ambiguos de menor gravedad; nunca pueden dejar pasar una fuga confirmada.
¿Dónde viven físicamente nuestros datos?
Tracehold está construida y alojada en la UE, con residencia de datos en Europa — para que la herramienta que protege tus datos no se convierta en el siguiente quebradero de cabeza de transferencia internacional de datos. Publicamos nuestros subencargados y nuestro DPA de forma abierta, para que puedas ver exactamente qué proveedores tocan tus datos y dónde están ubicados.
¿Con qué rapidez podemos estar en marcha?
Semanas, no meses. Es una extensión de navegador que despliegas con tu gestión de dispositivos habitual — sin proxy, sin cambios de red, sin un gran proyecto de despliegue. La mayoría de los equipos pasan de la primera llamada a estar protegidos en 2–4 semanas, y los precios están publicados de antemano: Free, Insight (€40/usuario·mes) y Governance (€60/usuario·mes).

Envíanos tus preguntas de seguridad

Preferimos responder las preguntas difíciles desde el principio. Repasa con nuestro equipo cómo se protegen tus datos, y luego empieza en modo solo-observación — y comprueba exactamente qué detectaría Tracehold, sin ninguna interrupción para tu gente.