// seguridad y compliance

Compliant desde la arquitectura,
no por política.

Aquí el compliance no es una casilla ni un ajuste — es una propiedad de cómo está construida la plataforma. Sin logs, procesamiento solo en la UE, y ningún dato de cliente entrena un modelo.

// sin logs

Los datos pasan. No se quedan.

Una petición entra por un endpoint de la UE, se responde en memoria, y la respuesta vuelve por streaming. Después desaparece — sin prompt, sin completion, nada retenido.

Procesado · transitorio
  • El prompt — en memoria, en la UE
  • Enrutado de modelo e inferencia
  • La respuesta, devuelta por streaming
Almacenado · solo facturación
  • Metadatos de la API key
  • Conteos agregados de peticiones y tokens (para facturación)
Nunca almacenado
  • Prompts
  • Completions
  • Documentos o código
  • Nada que entrene un modelo

// cobertura regulatoria

La regulación, y cómo se cumple.

Los marcos que deciden dónde pueden ejecutarse las cargas de IA europeas — y qué hace la arquitectura ante cada uno.

EU AI Act

Vigor 2 ago 2026

Obligaciones de gobernanza, transparencia y riesgo para sistemas de IA en la UE.

HelmcodeSin entrenamiento con datos de cliente, procesamiento solo en la UE y un stack trazable y auditable — compliant desde la arquitectura, antes de la fecha límite.

GDPR

En vigor

Los datos personales de residentes de la UE deben procesarse de forma lícita y permanecer en la región.

HelmcodeLa inferencia se ejecuta exclusivamente en infraestructura de la UE, sin logs. Ningún prompt ni completion se persiste.

DORA

Sector financiero · en vigor

Resiliencia operativa y controles de riesgo de terceros para entidades financieras de la UE.

HelmcodeDespliegues dedicated y on-premise con aislamiento completo, SLAs contractuales y cadena de suministro auditable.

US Cloud Act

Fuera de alcance

Obliga a proveedores con sede en EE. UU. a entregar datos, incluso si se almacenan en una región de la UE.

HelmcodeLa infraestructura de Helmcode es de propiedad y operación europea, fuera de jurisdicción estadounidense. El Cloud Act no la alcanza.

// la trampa de la residencia

Una región de la UE no es soberanía de la UE.

La región EU-West de un hyperscaler mantiene los bytes en Europa — pero la empresa que la opera responde a la ley estadounidense. Esa es la brecha que importa a GDPR, y la razón de que exista Helmcode.

Hyperscaler · región UE

Operado por una empresa con sede en EE. UU.

Sujeto al Cloud Act, pese al almacenamiento en la UE

Los datos pueden ser forzados fuera de la región

Helmcode · UE

Infraestructura de propiedad y operación europea

Fuera de jurisdicción estadounidense — el Cloud Act no la alcanza

Procesado en la región, sin logs

// controles

Cómo se aplica.

Compliance demostrable — controles concretos integrados en la plataforma, no promesas en un documento de política.

Procesamiento solo en la UE

Cada petición se sirve dentro de la UE — nada se enruta a un hyperscaler estadounidense.

Retención cero

Prompts y completions se procesan en memoria y se descartan. No se registra nada.

Sin entrenar con datos de cliente

Ni prompts, ni documentos, ni código entran en ningún set de entrenamiento. Nunca.

Aislamiento de red

Los despliegues dedicated y on-premise funcionan totalmente aislados — air-gappable para los casos más estrictos.

Cifrado en tránsito

TLS 1.3 en cada conexión a la API, de extremo a extremo.

API keys con scope

Límites de RPM y concurrencia por key, revocables al instante desde la consola.

// ai act

Entra en vigor el 2 de agosto de 2026.

El incumplimiento conlleva multas de hasta el 7% de los ingresos anuales globales. Con Helmcode el alineamiento viene desde la arquitectura — sin migración, sin carreras antes de la fecha límite.

leer_la_guía_del_ai_act →

// confianza y documentación

La documentación que el equipo necesita.

Todo lo que piden legal, seguridad y compras — disponible bajo petición.

Data Processing Agreement

DPA conforme a GDPR, listo para firmar.

Resumen de seguridad

Documentación de arquitectura, controles y flujos de datos.

Lista de sub-procesadores

Cada parte de la cadena, y dónde opera.

Pedir los documentos

// faq de seguridad

Seguridad, respondida.

Lo que preguntan los equipos de legal, seguridad y compliance antes de aprobar Helmcode.

¿Almacenáis prompts o completions?

No. La inferencia se procesa en memoria y se descarta — sin logs. Solo se retienen metadatos de la API key y conteos agregados de peticiones y tokens para facturación. Ningún prompt, completion, documento ni línea de código se persiste.

¿No basta una región de la UE en AWS o Azure para GDPR?

Por sí sola, no. Un proveedor con sede en EE. UU. sigue sujeto al Cloud Act aunque el dato esté en una región de la UE, lo que entra en conflicto con GDPR. Helmcode funciona sobre infraestructura de propiedad y operación europea, fuera de jurisdicción estadounidense.

¿Entrenáis modelos con datos de cliente?

Nunca. Nada de lo que se envía se usa para entrenar ni hacer fine-tuning de ningún modelo. Los datos son del cliente; solo se ejecuta inferencia y se devuelve el resultado.

¿Cómo ayuda Helmcode con el AI Act de la UE?

La arquitectura ya cumple la sustancia de las obligaciones — procesamiento solo en la UE, sin entrenamiento con datos de cliente, sin logs y un stack trazable — así que el compliance viene desde la arquitectura, mucho antes de que entre en vigor el 2 de agosto de 2026. Consulta la guía del AI Act para más detalle.

¿Puedo obtener un DPA y documentación de seguridad?

Sí. Proporcionamos un Data Processing Agreement conforme a GDPR, un resumen de seguridad y la lista de sub-procesadores. Escríbenos y los compartimos.

¿Dónde se procesa físicamente la inferencia?

En infraestructura de Helmcode en la UE. En despliegues dedicated y on-premise se ejecuta sobre hardware reservado — o dentro del datacenter del cliente, air-gappable si es necesario.

// empezar

EMPIEZA A QUEMAR TOKENS

Olvídate de la infra de IA. Despliega hoy el primer endpoint de inferencia privada.

Tarifa plana. Datos en la UE. Compatible con la API de OpenAI.