Sherlock monitorizando
Compliance
—
Auditoría Sherlock
—
Compliance IA
RGPD · AI Act · Seguridad · Legalidad
28
/ 100
Riesgos críticos
2
acción inmediata
Pendientes
5
a resolver pronto
OK
2
elementos conformes
AI Act deadline
—
2 agosto 2026
Overview
Web
AI Act
RGPD
Seguridad
Fix List
RIESGOS CRÍTICOS ACTIVOS
RLS Supabase desactivado
— tablas
task_activity
y
ofa_config
expuestas.
Bearer token en frontend
— la clave API es visible en el código fuente. Mover a Vercel ENV.
WEB & LEGALIDAD
IA & DATOS
Textos legales obligatorios. Matt los genera, tú los apruebas.
Aviso Legal
Pendiente
Matt: generar
Política de Privacidad
Pendiente
Matt: generar
Política de Cookies
Pendiente
Matt: generar
DEMOS PÚBLICAS — CUMPLIMIENTO
demo.optimumforall.es/japi
Necesita aviso de demo y cláusula de uso de IA
Revisar
AI Act — Deadline: 2 agosto 2026
Las obligaciones de sistemas IA de propósito general entran en vigor. Clasificación probable: riesgo mínimo a limitado.
INVENTARIO DE HERRAMIENTAS IA
Sherlock: analizar obligaciones AI Act
Registro de tratamientos de datos personales. Obligatorio bajo RGPD y LOPDGDD española.
TRATAMIENTOS DE DATOS
Leads de negocios locales (scraping Google Maps)
Base legal: interés legítimo. Retención: 6 meses sin conversión.
Documentar
Usuarios de demos Elia (interacciones voz/chat)
Base legal: consentimiento. Retención: 30 días para demo.
Documentar
Datos en Supabase sin RLS
Tablas task_activity y ofa_config accesibles sin autenticación.
Crítico
Matt: generar registro de tratamientos básico
API keys expuestas
1
Bearer en frontend
RLS Supabase
Parcial
task_activity y ofa_config
HTTPS
ON
todos los dominios
CHECKLIST DE SEGURIDAD
Activar RLS en task_activity y ofa_config
Supabase → Authentication → Row Level Security
Crítico
Mover Bearer token a Vercel Environment Variables
Vercel → Settings → Environment Variables → BEARER_TOKEN
Crítico
HTTPS en todos los dominios
svc-sync, os.optimumforall.es, optimumforall.es, n8n — todos con SSL
OK
CORS configurado
Nginx svc-sync solo permite os.optimumforall.es
OK
MFA en cuentas críticas
Supabase, Vercel, Anthropic, ElevenLabs — activar 2FA
Media
Lista priorizada. Los marcados como "Hecho" se guardan localmente.
CRÍTICO — hacer esta semana
1
Activar RLS en task_activity y ofa_config
5 min · Supabase Dashboard
Hecho
2
Mover Bearer token a Vercel ENV
10 min · Vercel → Settings → Environment Variables
Hecho
ALTA — esta quincena
3
Aviso legal + política privacidad en web
30 min · Matt genera el borrador
Matt
4
Documentar tratamientos RGPD
20 min · Matt genera el registro
Matt
MEDIA — antes de agosto 2026
5
Inventario IA para AI Act
30 min · Sherlock analiza
Sherlock
6
MFA en todas las cuentas críticas
20 min · Supabase, Vercel, Anthropic, ElevenLabs
Hecho