Centro legal
Clientes B2B, laboratorios, universidades, hospitales, equipos de procurement, seguridad y compliance que evalúan la plataforma.Trust centerHIPAAISO 42001Cumplimiento

Cumplimiento y certificaciones

Centro de Confianza de Ressearch AI: marco peruano aplicable, postura honesta frente a HIPAA, hoja de ruta de certificaciones ISO/SOC, certificaciones de nuestros subencargados y modelo de responsabilidad compartida.

Estado del documento

Vigencia
18 de junio de 2026
Última revisión
18 de junio de 2026
Operador
Skyfall Innovations Corp S.A.C.S.
RUC
20615941108

Marco local (base)

Ley 29733 + DS 016-2024-JUS y Ley 31814 + DS 115-2025-PCM

HIPAA

Alineados con principios HIPAA; sin certificación (no existe). BAA enterprise en hoja de ruta. Hoy no apto para PHI

ISO destacada

ISO/IEC 42001 (gestión de IA) como diferenciador, junto a 27001 y 27701

¿Procurement, BAA, DPA firmado o evaluación de seguridad?

Para laboratorios, hospitales, universidades o empresas que necesiten un BAA enterprise, DPA reforzado, residencia de datos, SSO, revisión de subencargados o anexos de seguridad antes de cargar datos regulados.

Contactar al equipo

1. Propósito de este Centro de Confianza

Este documento describe, de forma honesta y verificable, el estado de cumplimiento y seguridad de Ressearch AI®. Su objetivo es darle a clientes B2B, laboratorios e instituciones la información necesaria para evaluar la plataforma sin sobre-prometer.

Principio rector: no afirmamos certificaciones que no hemos obtenido ni representamos un cumplimiento que no podemos sostener. Cuando una certificación está en curso, lo decimos con su estado real. Las afirmaciones de cumplimiento se acompañan del modelo de responsabilidad compartida correspondiente.

2. Modelo de responsabilidad compartida

La seguridad y el cumplimiento son una responsabilidad compartida entre Ressearch AI, nuestros proveedores de nube y el cliente. Nosotros protegemos la infraestructura, el aislamiento por usuario/proyecto/organización, el almacenamiento y los controles de la plataforma. Nuestros subencargados (Google Cloud, Supabase, etc.) protegen su propia capa certificada. El cliente decide qué datos carga, qué base jurídica tiene, a quién concede acceso y qué publica.

Usar Ressearch AI —o cualquiera de sus subencargados certificados— no garantiza por sí solo que la organización del cliente cumpla un régimen específico: el cumplimiento depende también de cómo el cliente configure, restrinja y use el servicio.

3. Marco peruano aplicable (base para clientes locales)

Para clientes en el Perú y la región, el marco que realmente nos obliga es la legislación peruana, no HIPAA (que es una norma estadounidense). Operamos bajo:

  • Ley N.° 29733, Ley de Protección de Datos Personales, y su Reglamento DS N.° 016-2024-JUS (vigente desde el 30 de marzo de 2025), que clasifica los datos de salud como datos sensibles, incorpora la figura del oficial de datos (DPO) cuando corresponde y exige notificar brechas a la ANPDP en 48 horas.
  • Ley N.° 31814 y su Reglamento DS N.° 115-2025-PCM (vigente desde el 22 de enero de 2026), marco peruano de inteligencia artificial, con autoridad en la SGTD-PCM y canal ciudadano gob.pe/iaperu.
  • NTP-ISO/IEC 42001:2025 (INACAL) como norma técnica de referencia para nuestro sistema de gestión de IA.
  • Ley N.° 29571, Código de Protección y Defensa del Consumidor (INDECOPI), para la relación de consumo.

Para clientes internacionales o que sean entidades cubiertas por HIPAA, tratamos HIPAA como una postura de preparación (sección 4), no como nuestra norma local.

Referencias y fuentes

4. Postura frente a HIPAA

No existe una «certificación HIPAA» oficial: la única entidad que puede determinar el cumplimiento es la Oficina de Derechos Civiles (OCR) del Departamento de Salud de EE. UU. Por eso no afirmamos —ni debe interpretarse que afirmamos— ser «HIPAA Compliant», «HIPAA Certified» o «HIPAA Secure».

Nuestra postura es: Ressearch AI está diseñado tomando los principios de HIPAA como referencia (HIPAA-aligned), pero en su configuración estándar el servicio NO está destinado al almacenamiento ni procesamiento de PHI (información de salud protegida). No suba datos de salud identificables de pacientes a la plataforma sin un acuerdo previo.

Para organizaciones que sean entidades cubiertas y requieran manejar PHI, podemos evaluar la firma de un Business Associate Agreement (BAA) bajo un acuerdo enterprise. El cumplimiento de HIPAA es una responsabilidad compartida: ofrecer un BAA ayuda a soportar su cumplimiento, pero el uso de nuestra plataforma no garantiza por sí solo que su organización cumpla con HIPAA.

Transparencia sobre la cadena de subencargados: un flujo con PHI solo es admisible si TODOS los subencargados que lo tocan están cubiertos por un BAA. Hoy esto no es viable de extremo a extremo en la configuración estándar —algunos componentes de orquestación y de ejecución de código aún no ofrecen un BAA que cubra ese uso—, por lo que habilitar PHI requiere un rediseño del flujo y acuerdos enterprise específicos. Lo indicamos abiertamente en lugar de prometer un cumplimiento que aún no podemos sostener.

Cuando un prospecto pregunta «¿son HIPAA compliant?», nuestra respuesta es: no existe una certificación HIPAA; ofrecemos un BAA para workloads HIPAA bajo un acuerdo enterprise y operamos bajo un modelo de responsabilidad compartida — nunca un «sí» a secas.

Referencias y fuentes

5. Hoja de ruta de certificaciones

A continuación, el estado real de nuestras certificaciones como producto. No publicamos sellos de certificaciones que aún no hayamos obtenido; las fechas objetivo se comunican cuando existen compromisos firmes.

  • ISO/IEC 42001 — Sistema de Gestión de IA (AIMS), primer y único estándar certificable de gobernanza de IA. Estado: en evaluación. Es nuestro diferenciador prioritario como SaaS de investigación con IA y se alinea con la NTP-ISO/IEC 42001:2025 peruana.
  • ISO/IEC 27001 — Sistema de Gestión de Seguridad de la Información (SGSI), base certificable de seguridad. Estado: en proceso.
  • ISO/IEC 27701 — Sistema de Gestión de Privacidad (PIMS), mapea con la Ley 29733 y el RGPD; desde su revisión de 2025 es un estándar certificable independiente. Estado: planificado.
  • ISO/IEC 27017 y 27018 — controles de seguridad en la nube y protección de PII en la nube como encargado. Estado: planificado (heredamos parcialmente las certificaciones de nuestros proveedores de nube).
  • SOC 2 Tipo II — reporte de confianza orientado al mercado de EE. UU., que evidencia la efectividad operativa de los controles durante un periodo. Estado: planificado.

Estados posibles: obtenido · en proceso · en evaluación · planificado. Cualquier cambio de estado se refleja en la fecha de última revisión de este documento.

6. Certificaciones de nuestros subencargados

Aunque Ressearch AI aún no ostenta certificaciones propias, opera sobre proveedores que sí las mantienen. La certificación del proveedor no es la certificación de Ressearch AI, pero es parte relevante de la cadena de confianza:

  • Google Cloud — Vertex AI / Gemini Enterprise (inferencia y embeddings): ISO/IEC 27001, 27017, 27018 y 27701; SOC 2 y SOC 3; y BAA HIPAA disponible para los productos cubiertos (incluye Vertex AI / Gemini Enterprise; no cubre el Gemini de consumidor ni Google AI Studio). El contenido enviado no se usa para entrenar los modelos de Google.
  • Supabase (autenticación, base de datos, storage, pgvector): SOC 2 Tipo II y HIPAA disponible como add-on de pago en planes Team/Enterprise (no en Free/Pro).
  • E2B (sandboxes de ejecución inline): SOC 2 Tipo II; HIPAA/BAA disponible solo en plan Enterprise.
  • Modal (ejecución de trabajos largos / GPU): SOC 2 Tipo II; HIPAA/BAA solo en plan Enterprise, con exclusiones (p. ej. del «código del usuario») relevantes para flujos PHI.
  • Culqi (pagos): declara cumplimiento PCI DSS y tokenización de tarjetas; maneja datos de pago, no PHI.

Referencias y fuentes

7. Datos que requieren acuerdo previo

  • PHI (información de salud identificable de pacientes), datos genéticos atribuibles, datos biométricos o expedientes clínicos.
  • Datos de menores y, en particular, IA que evalúe a menores en educación (uso de «riesgo alto» bajo el artículo 24 del DS 115-2025-PCM).
  • Bases de datos personales masivas, secretos empresariales críticos o material sujeto a normas sectoriales estrictas.
  • Cualquier dato cuyo procesamiento en herramientas externas de IA esté restringido por una revista, universidad, comité ético, financiador o empleador.

Si su flujo de trabajo requiere alguno de estos datos, contáctenos para evaluar controles adicionales y, cuando corresponda, un acuerdo enterprise (DPA reforzado, BAA, residencia de datos, SSO o anexos de seguridad) antes de cargar el contenido.

8. Documentos relacionados

Este Centro de Confianza se complementa con el resto del Centro legal:

Referencias y fuentes