Centre de sécurité

Aduvera s'appuie sur le Cloud Data Processing Addendum de Google Cloud et sur le Google Cloud HIPAA Business Associate Addendum pour l'infrastructure du service. Cela fournit une base contractuelle importante pour les workflows documentaires sensibles.

Aduvera ne présente pas ces accords amont comme une affirmation globale selon laquelle chaque déploiement client serait automatiquement conforme. Le niveau de conformité dépend toujours du workflow, des contrôles d'accès, de la configuration, de la rétention et de l'exécution d'un BAA client distinct lorsque cela est requis.

For customers outside the U.S. and for customers processing ordinary business personal data, the main legal framework is Aduvera's Terms of Service, Privacy Policy, and, where applicable, DPA. U.S. HIPAA customers should also review the BAA.

• Authenticated backend access for consultation, transcription, and generation APIs.
• User-scoped consultation reads and writes enforced server-side.
• Audit events for access, mutation, generation, deletion, and purge actions.
• Production protections against unsafe full-payload LLM logging.
• Security headers including CSP, HSTS, anti-framing, and nosniff.
• Database connections default to TLS in production over TCP.

Temporary uploaded audio is deleted after successful transcription by default. Persisted consultation records are retained for up to 30 days after the last update, then soft-deleted and queued for permanent purge. Final hard deletion occurs after an additional 7-day grace period unless a legal hold applies.

Aduvera uses Google Vertex AI to transcribe visits, generate draft documentation, and retrieve transcript-backed note citations. Aduvera does not sell customer data, does not use customer data for advertising, and does not use customer data to train a proprietary Aduvera model.

Customer prompts, transcripts, and outputs are processed only to provide the requested service workflow. Google documents that customer data sent to Vertex AI is not used to train or fine-tune Google foundation models without customer permission or instruction.

Aduvera publie des documents publics sur la confidentialité, le DPA, la rétention, l'usage des données IA et les sous-traitants afin que les clients internationaux puissent évaluer le service au-delà d'un seul cadre HIPAA américain.

Pour les clients de l'EEE, y compris l'Allemagne, la France, l'Italie, l'Espagne et les Pays-Bas, ainsi que pour les clients britanniques et suisses, le DPA est rédigé pour couvrir les clauses de sous-traitance et les transferts transfrontaliers. Pour le Canada, l'Australie et d'autres marchés, cette même documentation publique reste la base de l'examen.

Aduvera currently uses the following categories of subprocessors:

• Google Cloud Run, Cloud SQL for PostgreSQL, Cloud Storage: Application hosting, authenticated API delivery, consultation persistence, and temporary audio object storage.
• Vertex AI Gemini and Vertex embeddings: Transcription, note generation, patient-summary generation, pre-visit preparation, light patient-name extraction, and transcript citation retrieval.
• Firebase Authentication / Google Cloud Identity Platform: User authentication, session establishment, and sign-in support for Google and email magic-link workflows.
• Cloud Logging and Cloud Monitoring: Operational logging, request tracing, rate-limit visibility, and incident-response support.

Les clients peuvent demander les documents juridiques et de sécurité, y compris le DPA et la liste actualisée des sous-traitants, via l'adresse de contact ci-dessous.

Aduvera met à disposition un BAA client pour les organisations de santé américaines éligibles qui ont besoin d'une couverture contractuelle HIPAA.

legal [at] aduvera.ai