Centro de seguridad

Aduvera utiliza el Cloud Data Processing Addendum de Google Cloud y el Google Cloud HIPAA Business Associate Addendum para la infraestructura del servicio. Esto aporta una base contractual importante para flujos documentales sensibles.

Aduvera no presenta estos acuerdos ascendentes como una afirmación general de que cada despliegue de cliente sea automáticamente conforme. El nivel real de cumplimiento sigue dependiendo del flujo, de los controles de acceso, de la configuración, de la retención y de la firma de un BAA de cliente independiente cuando sea necesario.

For customers outside the U.S. and for customers processing ordinary business personal data, the main legal framework is Aduvera's Terms of Service, Privacy Policy, and, where applicable, DPA. U.S. HIPAA customers should also review the BAA.

• Authenticated backend access for consultation, transcription, and generation APIs.
• User-scoped consultation reads and writes enforced server-side.
• Audit events for access, mutation, generation, deletion, and purge actions.
• Production protections against unsafe full-payload LLM logging.
• Security headers including CSP, HSTS, anti-framing, and nosniff.
• Database connections default to TLS in production over TCP.

Temporary uploaded audio is deleted after successful transcription by default. Persisted consultation records are retained for up to 30 days after the last update, then soft-deleted and queued for permanent purge. Final hard deletion occurs after an additional 7-day grace period unless a legal hold applies.

Aduvera uses Google Vertex AI to transcribe visits, generate draft documentation, and retrieve transcript-backed note citations. Aduvera does not sell customer data, does not use customer data for advertising, and does not use customer data to train a proprietary Aduvera model.

Customer prompts, transcripts, and outputs are processed only to provide the requested service workflow. Google documents that customer data sent to Vertex AI is not used to train or fine-tune Google foundation models without customer permission or instruction.

Aduvera publica documentos de privacidad, DPA, retención, uso de datos de IA y subprocesadores para que los clientes internacionales puedan evaluar el servicio sin depender de un marco de confianza exclusivamente estadounidense.

Para los clientes del EEE, incluidos Alemania, Francia, Italia, España y los Países Bajos, así como para clientes del Reino Unido y Suiza, el DPA está redactado para cubrir términos de encargado y lenguaje de transferencias internacionales. Para Canadá, Australia y otros mercados, esa misma documentación pública sigue siendo la base de la revisión.

Aduvera currently uses the following categories of subprocessors:

• Google Cloud Run, Cloud SQL for PostgreSQL, Cloud Storage: Application hosting, authenticated API delivery, consultation persistence, and temporary audio object storage.
• Vertex AI Gemini and Vertex embeddings: Transcription, note generation, patient-summary generation, pre-visit preparation, light patient-name extraction, and transcript citation retrieval.
• Firebase Authentication / Google Cloud Identity Platform: User authentication, session establishment, and sign-in support for Google and email magic-link workflows.
• Cloud Logging and Cloud Monitoring: Operational logging, request tracing, rate-limit visibility, and incident-response support.

Los clientes pueden solicitar documentos legales y de seguridad, incluido el DPA y la lista actualizada de subprocesadores, mediante la dirección de contacto indicada más abajo.

Aduvera ofrece términos de BAA a los clientes sanitarios estadounidenses elegibles que necesitan cobertura contractual HIPAA.

legal [at] aduvera.ai