Cada decisión técnica del motor pasa por tres preguntas. Si la respuesta no es afirmativa, no se incorpora. Estas son las preguntas.
Every technical decision in the engine goes through three questions. If the answer isn't yes, it isn't shipped. These are the questions.
El motor procesa lo estrictamente necesario para emitir el veredicto y no almacena el contenido original más allá del tiempo acordado por contrato. La trazabilidad se mantiene por hash, no por contenido.
The engine processes only what is strictly needed to produce the verdict and does not store original content beyond the contractually agreed time. Traceability is preserved by hash, not by content.
VeriMsg emite el veredicto auditable. El partner mantiene la propiedad de los datos, decide la acción final y conserva el branding hacia el cliente. No hay decisiones automáticas que el partner no pueda anular.
VeriMsg issues the auditable verdict. The partner keeps data ownership, decides the final action and retains branding toward the customer. There are no automated decisions the partner cannot override.
Todo veredicto incluye explicación legible por humanos y por máquina, fase responsable y trazabilidad temporal. El log es exportable bajo demanda en el formato que el supervisor requiera.
Every verdict ships with a human and machine-readable explanation, the responsible phase and time traceability. The log is exportable on demand in whatever format the supervisor requires.
Esta es la pila desde que el partner envía una entrada hasta que el log queda disponible para auditoría. Cada capa tiene controles específicos; cada control se documenta en el contrato.
This is the stack from the moment the partner submits an input until the log is available for audit. Each layer has specific controls; every control is documented in the contract.
Toda comunicación entre el partner y el motor viaja cifrada. Cada llamada se autentica con credenciales emitidas para el tenant, rotables a discreción del partner sin intervención de VeriMsg.
All communication between partner and engine travels encrypted. Each call is authenticated with credentials issued for the tenant, rotatable at the partner's discretion without VeriMsg involvement.
Cada partner opera en un tenant lógicamente aislado. Los datos de un partner no se usan jamás para entrenar, mejorar o calibrar nada que afecte a otro partner. La frontera está en el modelo de datos, no en una promesa.
Each partner operates in a logically isolated tenant. A partner's data is never used to train, improve or calibrate anything that affects another partner. The boundary is in the data model, not in a promise.
El motor ejecuta once fases especializadas, cada una analizando la entrada desde un ángulo distinto, y emite un veredicto único con explicación. No es un modelo único: es un algoritmo de orquestación de fases.
The engine runs eleven specialised phases, each analysing the input from a different angle, and emits a single verdict with an explanation. It is not a single model: it is a phase-orchestration algorithm.
El log se cifra en reposo con claves gestionadas por VeriMsg en infraestructura cloud europea con redundancia geográfica. La duración exacta de la retención y el modelo de claves se acuerdan en el DPA del partner.
The log is encrypted at rest with keys managed by VeriMsg on European cloud infrastructure with geographical redundancy. Retention duration and key-management model are agreed in the partner's DPA.
Cada acceso al log auditable queda registrado. El partner puede revisar qué cuentas internas o de VeriMsg han consultado información de su tenant durante el período de retención, en formato legible o exportable.
Every access to the auditable log is recorded. The partner can review which internal or VeriMsg accounts queried tenant information during the retention period, in human-readable or exportable form.
VeriMsg actúa como encargado del tratamiento bajo art. 28 RGPD. El partner es el responsable, conserva la decisión sobre cualquier finalidad y mantiene la titularidad de los datos.
VeriMsg acts as data processor under Art. 28 GDPR. The partner is the controller, keeps the decision on any purpose and retains data ownership.
Solo se procesa lo que el partner envía explícitamente para análisis. El contenido original no se reutiliza para fines distintos del veredicto solicitado y no se comparte con terceros fuera del DPA.
Only what the partner explicitly submits for analysis is processed. Original content is not reused for purposes other than the requested verdict and is not shared with third parties outside the DPA.
Cada marco se etiqueta con su estado real: conforme (lo somos hoy), alineado (controles diseñados con la norma como referencia) o en roadmap (con fecha objetivo y cláusula contractual posible).
Each framework is labelled with its real status: compliant (we are today), aligned (controls designed against the standard) or on roadmap (with target date and possible contractual clause).
Encargado del tratamiento. DPA firmado por contrato con cada partner. Notificación de brechas y soporte a derechos del interesado dentro de los plazos legales.
Data processor. DPA signed by contract with each partner. Breach notification and data-subject rights support within legal deadlines.
Cobertura técnica documentada para los nueve artículos donde un motor anti-fraude integrado tiene impacto directo. Mapeo público en el dossier DORA.
Documented technical coverage for the nine articles where an integrated anti-fraud engine has direct impact. Public mapping in the DORA dossier.
Controles del motor diseñados con la norma como referencia. Certificación formal en roadmap con fecha objetivo en la propuesta. El contrato puede condicionarse a hitos.
Engine controls designed against the standard. Formal certification on the roadmap with a target date in the proposal. The contract can be milestone-conditioned.
Cumplimiento SOC 2 incorporado a la arquitectura: controles de seguridad, disponibilidad, integridad de procesamiento y confidencialidad. Auditoría externa programada.
SOC 2 compliance built into the architecture: security, availability, processing integrity and confidentiality controls. External audit scheduled.
Coordinación con INCIBE-CERT para tipologías emergentes y respuesta a incidentes sectoriales. La inteligencia se incorpora al motor en ciclo continuo.
Coordination with INCIBE-CERT for emerging typologies and sector incident response. Intelligence is incorporated into the engine on a continuous cycle.
Arquitectura compatible con los requisitos de la Directiva (UE) 2022/2555 para entidades esenciales e importantes. Aplicable cuando el partner sea sujeto NIS2.
Architecture compatible with Directive (EU) 2022/2555 requirements for essential and important entities. Applies when the partner is a NIS2 subject.
Diseño compatible con autenticación reforzada del cliente y con los flujos de detección de fraude exigidos a entidades de pago bajo PSD2 y futuras revisiones PSD3.
Design compatible with strong customer authentication and fraud-detection flows required from payment entities under PSD2 and future PSD3 revisions.
Cada veredicto emite explicación auditable de la fase responsable. Esto facilita la trazabilidad exigida por el Reglamento Europeo de IA en sistemas de alto riesgo.
Every verdict ships an auditable explanation of the responsible phase. This supports the traceability required by the EU AI Act for high-risk systems.
Los compromisos numéricos se firman bilateralmente. Esta tabla resume los rangos típicos por nivel de servicio para que el comité de riesgos del partner sepa qué esperar antes de la negociación.
Numerical commitments are signed bilaterally. This table summarises the typical ranges per service level so the partner's risk committee knows what to expect before negotiation.
| Compromiso | Commitment | Free / Premium | Free / Premium | Partner Pilot | Partner Pilot | Contrato anual | Annual contract |
|---|---|---|---|---|---|---|---|
| Disponibilidad del motor | Engine availability | Best-effort | Best-effort | SLA específico del piloto | Pilot-specific SLA | SLA contractable por vertical | Contractable SLA per vertical |
| Tiempo de veredicto | Verdict latency | Menos de un segundo (texto) | Under one second (text) | Rango acordado en el piloto | Agreed range in the pilot | Rango firmado por canal | Per-channel signed range |
| Retención del log | Log retention | No aplica | N/A | Acordada para el piloto | Agreed for the pilot | Acordada por contrato | Agreed by contract |
| Soporte técnico | Technical support | Email · plazos comunitarios | Email · community SLAs | Canal directo durante el piloto | Direct channel during pilot | Canal directo · plazos firmados | Direct channel · signed deadlines |
| Notificación de brechas | Breach notification | Plazos legales mínimos | Statutory minimum deadlines | Plazos del DPA del piloto | Pilot DPA deadlines | Plazos del DPA productivo | Production DPA deadlines |
| Auditoría del partner | Partner audit right | No aplica | N/A | Reporte de cierre del piloto | Pilot closing report | Auditoría anual sobre alcance | Annual audit on scope |
| Salida y portabilidad | Exit and portability | Sin compromiso formal | No formal commitment | Borrado al cierre del piloto | Deletion at pilot end | Plan de salida documentado | Documented exit plan |
Los rangos exactos no se publican en web por política de divulgación: comprometerse a un número público antes de conocer el alcance del partner es irresponsable. La concreción ocurre en sala, bajo NDA, con el plan operativo del partner sobre la mesa.
Exact ranges are not published online as a matter of disclosure policy: committing to a public number before knowing the partner's scope is irresponsible. Concrete numbers happen in the room, under NDA, with the partner's operational plan on the table.
Plan público de hitos. Las fechas son objetivos firmes; cualquier ajuste se comunica a los partners con cláusula contractual asociada cuando proceda.
Public milestone plan. Dates are firm targets; any adjustment is communicated to partners with an associated contractual clause where applicable.
VeriMsg recibe e investiga reportes de seguridad responsables. No tomamos represalias contra investigadores que actúan de buena fe, no acceden a datos de partners y respetan la confidencialidad hasta que la corrección esté desplegada.
VeriMsg receives and investigates responsible security reports. We do not take action against researchers acting in good faith, who do not access partner data and who respect confidentiality until the fix is deployed.
Comunique el hallazgo a hola@webpilot.es con el asunto "[SECURITY] reporte". Acusamos recibo en 48 horas hábiles e indicamos plazo orientativo de mitigación. Pedimos no divulgar públicamente el detalle hasta que el problema esté corregido.
Send the finding to hola@webpilot.es with subject "[SECURITY] report". We acknowledge receipt within 48 business hours and provide an indicative mitigation timeframe. We ask not to publicly disclose the detail until the issue is fixed.
Reportar vulnerabilidad Report vulnerabilityEl Pilot Readiness Pack incluye DPA preliminar, descripción técnica de capas, mapeo DORA y SLA tipo. Diseñado para circular dentro del comité de riesgos antes de la primera reunión.
The Pilot Readiness Pack includes a preliminary DPA, layer-by-layer technical description, DORA mapping and template SLA. Designed to circulate within the risk committee ahead of the first meeting.