“Somos compatibles con SOC 2” no es una respuesta a “¿dónde viven los datos de mis pacientes?”
Las industrias reguladas necesitan control por categoría. El sector salud no puede enviar registros de pacientes a la nube. Las finanzas no pueden dejar que los registros de auditoría vivan fuera de sistemas a prueba de manipulación. Una sola insignia de cumplimiento no le dice a su CISO qué categorías de datos se almacenan dónde, quién tiene acceso, o si se está eliminando el PII antes de que cruce un límite de red.
Los controles de residencia de datos de JieGou le dan reglas granulares por categoría para cada tipo de dato que la plataforma maneja — con detección automática de PII, presets de cumplimiento para 8 marcos y un motor de validación que detecta errores de configuración antes de que se conviertan en hallazgos de auditoría.
Cuatro modos de residencia
Cada categoría de datos en JieGou se asigna uno de cuatro modos de residencia:
Solo Local — Los datos permanecen en su VPC. Nunca salen de su red. El plano de control de JieGou recibe el estado de ejecución y metadatos de temporización, pero nunca el contenido en sí.
Solo Nube — Datos almacenados en la infraestructura en la nube de JieGou. Requerido para funciones de la plataforma que dependen de que los datos sean accesibles para el plano de control (orquestación de workflows, autenticación de usuarios).
Sincronización con Nube — Datos almacenados localmente en su VPC, con una copia completa sincronizada a la nube. Esto habilita paneles de control, colaboración e historial de versiones mientras mantiene la copia principal en su infraestructura.
Nube (Redactada) — Datos sincronizados a la nube con PII y campos sensibles eliminados automáticamente antes de la transmisión. Obtiene visibilidad y colaboración basada en la nube sin exponer datos regulados.
9 categorías de datos
Cada categoría de datos tiene un modo de residencia predeterminado y un conjunto de modos permitidos. Algunas categorías están bloqueadas a un solo modo porque la plataforma lo requiere.
| Categoría | Predeterminado | Modos Permitidos | Notas |
|---|---|---|---|
| Resultados de Ejecución | Sincronización con Nube | Solo Local, Sincronización con Nube, Nube Redactada | Salidas de pasos, contenido generado |
| Metadatos de Ejecución | Sincronización con Nube | Solo Local, Sincronización con Nube, Solo Nube | Duración, conteos de tokens, métricas de rendimiento |
| Registros de Auditoría | Sincronización con Nube | Solo Local, Sincronización con Nube, Solo Nube | Quién ejecutó qué, cuándo, desde dónde |
| Definiciones de Workflow | Solo Nube | Solo Nube (bloqueado) | Requerido para el motor de orquestación |
| Definiciones de Recipe | Solo Nube | Solo Nube (bloqueado) | Requerido para el motor de orquestación |
| Documentos de Base de Conocimiento | Solo Local | Solo Local, Sincronización con Nube, Nube Redactada | PDFs cargados, contenido procesado, embeddings |
| Conversaciones LLM | Solo Local | Solo Local, Sincronización con Nube, Nube Redactada | Historial de chat, trazas de razonamiento |
| Datos de Usuario | Solo Nube | Solo Nube (bloqueado) | Requerido para autenticación y RBAC |
| Credenciales | Solo Local | Solo Local (bloqueado) | Las claves API nunca salen de su VPC |
Tres categorías están bloqueadas: las definiciones de workflow y recipe deben vivir en la nube para que el motor de orquestación funcione, y las credenciales son permanentemente locales — sus claves API nunca transitan por la infraestructura de JieGou.
Detección automática de PII
JieGou detecta 10 categorías de información de identificación personal:
- Direcciones de correo electrónico
- Números de teléfono
- Números de Seguro Social
- Números de tarjetas de crédito
- Direcciones físicas
- Fechas de nacimiento
- Números de registros médicos
- Números de cuentas financieras
- Direcciones IP
- Nombres personales
Para cada categoría de PII, usted elige una de tres acciones:
| Acción | Comportamiento | Caso de uso |
|---|---|---|
| Redactar | Reemplazar con [REDACTED] | Predeterminado para la mayoría de marcos de cumplimiento |
| Hash | Hash SHA-256 unidireccional, preserva integridad referencial | Analíticas que necesitan correlacionar registros sin exponer valores |
| Solo Marcar | Marca el campo como conteniendo PII pero conserva el valor | Workflows internos donde el dato es necesario en pasos posteriores |
También puede agregar patrones regex personalizados para tipos de datos específicos del dominio — IDs internos de pacientes, formatos de cuenta propietarios, números de referencia personalizados. Estos patrones se ejecutan junto con los detectores integrados.
8 marcos de cumplimiento con presets de un clic
JieGou soporta configuraciones preestablecidas para 8 marcos regulatorios:
- HIPAA
- SOX
- GDPR
- CCPA
- PCI-DSS
- FedRAMP
- ISO 27001
- SOC 2
Cada preset auto-configura las reglas de residencia de datos y la configuración de detección de PII basada en los requisitos del marco. Seleccione los marcos a los que está sujeto, y el sistema aplica la configuración apropiada.
Preset HIPAA
La configuración de salud más estricta. Los resultados de ejecución, conversaciones LLM y documentos de base de conocimiento están todos configurados como Solo Local — ningún dato de pacientes sale de su VPC. La detección de PII habilita 7 categorías incluyendo medical_record, name, date_of_birth, ssn, phone, email y address. Se requiere cifrado de extremo a extremo para toda comunicación de agentes.
Preset GDPR
Diseñado para la protección de datos de la UE. Los resultados de ejecución y documentos de base de conocimiento están configurados como Nube Redactada — los datos se sincronizan a la nube con todo el PII eliminado, para que obtenga funciones de la plataforma sin exponer datos personales. Las categorías de PII incluyen ip_address (que el GDPR clasifica explícitamente como dato personal). La redacción es la acción predeterminada para todo PII detectado.
Preset PCI-DSS
Enfocado en la protección de datos del titular de la tarjeta. Habilita las categorías de PII credit_card y financial_account con redacción. Alcance más estrecho que HIPAA o GDPR — PCI-DSS no requiere que los registros médicos o las direcciones IP se traten como sensibles. Los resultados de ejecución que contienen datos de pago se configuran como Solo Local.
Preset FedRAMP
La configuración más restrictiva. Todas las categorías que contienen datos — resultados de ejecución, metadatos de ejecución, registros de auditoría, documentos de base de conocimiento y conversaciones LLM — están configuradas como Solo Local. Se requiere cifrado de extremo a extremo. Este preset asume una postura de confianza cero donde ningún dato sustantivo sale del enclave gubernamental.
Motor de validación de cumplimiento
Seleccionar un marco de cumplimiento no solo establece valores predeterminados — activa validación continua. El sistema verifica su configuración contra reglas específicas del marco y devuelve dos tipos de hallazgos:
Errores — Violaciones de configuración que deben corregirse. Ejemplo: HIPAA está seleccionado pero los resultados de ejecución están configurados como Sincronización con Nube sin redacción. Este es un hallazgo bloqueante.
Advertencias — Cambios recomendados que no son estrictamente requeridos. Ejemplo: SOX está seleccionado pero la retención de registros de auditoría está configurada en 180 días en lugar de los 365 recomendados.
La validación funciona en múltiples marcos simultáneamente. Seleccionar HIPAA + GDPR + PCI-DSS valida su configuración contra los tres conjuntos de reglas. La regla más restrictiva gana para cualquier categoría dada. Si HIPAA requiere Solo Local y GDPR permite Nube Redactada, el motor de validación marca cualquier cosa menos restrictiva que Solo Local como un error.
Informes de residencia de datos
Cada respuesta de ejecución de agente VPC incluye un informe de residencia de datos. Este informe documenta:
- Qué campos se retuvieron localmente
- Si se detectó PII y qué acción se tomó (redactada, hasheada o marcada)
- Un hash SHA-256 del output para propósitos de auditoría
El hash del output se genera incluso cuando el contenido permanece completamente local. Esto habilita la verificación de integridad — su equipo de auditoría puede confirmar que una ejecución produjo un output específico sin que el output salga de su VPC. El hash viaja al plano de control; el contenido no.
Configuración de auditoría
Tres opciones de configuración soportan operaciones de cumplimiento continuo:
Registro de decisiones — Registra cada decisión de residencia de datos: qué se redactó, qué se mantuvo local, qué se sincronizó. Requerido para cumplimiento SOX donde los auditores necesitan rastrear el manejo de cada elemento de datos.
Webhook SIEM — Envía eventos de auditoría a su sistema SIEM externo (Splunk, Sumo Logic, Datadog, o cualquier endpoint compatible con webhook) en tiempo real. Su equipo de operaciones de seguridad ve los eventos de manejo de datos de JieGou junto con los eventos de su otra infraestructura.
Período de retención — Retención de registros de auditoría configurable, predeterminado 365 días. Configúrelo según los requisitos de su marco — SOX típicamente requiere 7 años para datos financieros, HIPAA requiere 6 años para ciertos registros. La configuración de retención aplica a los registros de auditoría de JieGou; sus datos locales de VPC siguen sus propias políticas de retención.
Disponibilidad
Los controles de residencia de datos están disponibles en los planes Enterprise. Incluye las 9 categorías de datos, auto-detección de PII con 10 categorías, presets de cumplimiento para 8 marcos, el motor de validación e integración de webhook SIEM. Conozca más sobre funciones enterprise o inicie una prueba.