acquant.

//seguridad

El control de acceso vive en la base de datos, no en la pantalla.

Verificación de identidad, NDA obligatorio antes de cualquier documento, traza inmutable y marca de agua por descarga. Así es la arquitectura de seguridad de Acquant hoy.

Principios de arquitectura

01

Identidad verificada para todos

El vendedor se verifica con CIF y poderes de representación; el comprador, con KYB/KYC. Nadie opera de forma anónima en el lado que importa: solo publica un administrador contrastado en el Registro Mercantil o un asesor con mandato firmado y validado (RN-11, RN-16).

02

NDA antes de data room, bloqueado en base de datos y API

El orden contacto → aceptación del vendedor → NDA firmado es obligatorio antes de ver la identidad del vendedor o cualquier documento (RN-02). Ese control no vive en la interfaz: se aplica con políticas de Row Level Security en la base de datos y se repite en cada endpoint de la API, de forma que ninguna ruta alternativa lo pueda saltar (RN-04).

03

Traza inmutable de cada acceso

Cada vez que alguien accede a un dato del data room, queda un evento de registro que no se puede modificar ni borrar (RN-05). Esto incluye accesos vía interfaz, API y MCP por igual (RN-10).

04

Marca de agua única por descarga

Ningún documento sale del data room sin pasar por un endpoint firmante que le añade una marca de agua única, ligada a quién descarga y cuándo (RN-05). No hay enlaces directos de descarga.

05

Cifrado en tránsito y en reposo

El almacenamiento de documentos y la base de datos se apoyan en la infraestructura de Supabase Pro, con cifrado en tránsito (TLS) y en reposo para los datos almacenados. El almacenamiento de ficheros es privado por defecto: todo acceso pasa por el endpoint firmante, nunca por una URL pública.

06

Export y borrado GDPR

Los datos que aporta un vendedor son suyos: puede solicitar su exportación completa o su borrado en cualquier momento, salvo la telemetría que Acquant conserva por obligación contractual o legal (RN-12).

Row Level Security como frontera real

La base de datos de Acquant corre sobre Supabase (Postgres) con políticas de Row Level Security activas en las tablas que importan: contactos, NDAs y documentos del data room. Esto significa que la restricción de acceso no depende de que el código de la aplicación la recuerde aplicar en cada ruta — la propia base de datos rechaza la consulta si no se cumplen las condiciones.

El mismo esquema de permisos se reutiliza desde la API pública y desde el servidor MCP, así que un agente que opera el mercado directamente encuentra exactamente las mismas restricciones que un usuario en la interfaz web (RN-10).

//secuencia-de-acceso-al-data-room

  1. 01Contacto enviado por comprador verificado (KYB) con suscripción activa
  2. 02Aceptación del vendedor (manual por defecto, o regla propia del vendedor)
  3. 03NDA firmado entre las partes
  4. 04Acceso al data room, con traza inmutable y marca de agua por descarga

Ningún documento del data room sale sin NDA firmado, sin marca de agua y sin dejar un evento de traza que no se puede borrar.

Tus datos, tu control

Los datos que un vendedor aporta a su ficha y a su data room son suyos. Puede solicitar en cualquier momento una exportación completa o el borrado de sus datos, con la única excepción de la telemetría que Acquant deba conservar por obligación contractual o legal — por ejemplo, registros de acceso ya generados sobre documentos que un tercero llegó a descargar (RN-12).

Preguntas frecuentes

¿Acquant tiene alguna certificación de seguridad como ISO 27001 o SOC 2?+

No todavía. Acquant está en fase temprana y no cuenta con certificaciones formales de seguridad. Preferimos describir con precisión la arquitectura y los principios que aplicamos hoy a afirmar certificaciones que no tenemos.

¿Quién puede ver la identidad de un vendedor?+

Nadie, hasta que se completan en orden: contacto de un comprador verificado, aceptación del vendedor (manual por defecto) y firma de un NDA. Ese orden está bloqueado a nivel de base de datos y API, no solo oculto en la pantalla.

¿Se puede automatizar la aceptación de un contacto?+

Solo si el propio vendedor define sus reglas de auto-aceptación, ejecutadas por su MCP. La plataforma nunca acepta un contacto por su cuenta (RN-03).

¿Qué pasa con mis datos si dejo de usar Acquant?+

Puedes solicitar la exportación completa de tus datos o su borrado. La única excepción es la telemetría que debemos conservar por obligación contractual o legal, por ejemplo registros de acceso ya generados (RN-12).

¿El control de acceso es distinto si uso la API o el MCP en vez de la web?+

No. Acquant mantiene paridad total: los mismos controles de acceso se aplican en la interfaz, la API pública y el servidor MCP (RN-10).

¿Dudas sobre seguridad antes de publicar o de conectar tu agente?

Escríbenos a hello@acquant.ai y te respondemos directamente.