Seguro por diseño
Elige dónde se almacenan tus datos, aplica SSO y acceso basado en roles, controla la publicación con aprobaciones y mantén tu código y tus indicaciones fuera del entrenamiento de modelos.
Controles de seguridad empresarial
Acceso y control
Lovable se integra con proveedores SAML y OIDC como Okta, Azure AD y Google. SCIM admite el aprovisionamiento y desaprovisionamiento automatizados. Los permisos se basan en roles y se aplican del lado del servidor para visualizar, editar, aprobar y publicar.
Salvaguardas para crear y publicar
La edición, la aprobación y la publicación son permisos independientes. El acceso público se controla mediante los roles y la configuración del entorno, para que los equipos avancen rápido sin arriesgarse a una exposición accidental.
Los secretos se gestionan de forma segura
Los secretos se cifran en reposo y su acceso se controla por rol. No se exponen en texto plano en los registros ni en las interfaces. El acceso se limita a entornos y acciones autorizados.
Residencia de datos
Lovable Cloud admite el alojamiento regional de datos en la UE, EE. UU. y Australia. Los datos de los clientes permanecen en la región que selecciones y, de forma predeterminada, no se trasladan entre regiones. Somos transparentes sobre nuestra infraestructura y subencargados del tratamiento, para que siempre sepas dónde residen tus datos y cómo se gestionan.
Tus datos no se usan para entrenar modelos
No usamos las indicaciones, el código ni los datos del espacio de trabajo de los clientes para entrenar los modelos de Lovable. Cuando trabajamos con proveedores de IA, los acuerdos contractuales restringen el entrenamiento y la retención de los datos de los clientes. Tu trabajo sigue siendo tuyo.
Aislamiento por diseño
Cada espacio de trabajo y proyecto está separado lógicamente. Los datos de los clientes no son accesibles entre cuentas. Los límites de los entornos se definen explícitamente y se evalúan antes de publicar los cambios, lo que garantiza la separación entre desarrollo y producción.
Monitoreo continuo y detección de abusos
Lovable supervisa continuamente la actividad de la plataforma en busca de usos indebidos, comportamientos anómalos e indicios de vulneración. Los sistemas automatizados aplican límites de solicitudes y detectan abusos entre usuarios y espacios de trabajo, y nuestro equipo de confianza y seguridad revisa la actividad de alto riesgo.
Análisis de seguridad automático
Lovable ejecuta un análisis de seguridad básico de forma automática cada vez que publicas, comprobando las configuraciones de la base de datos, las reglas de RLS, los ajustes del proyecto en la nube y patrones conocidos de configuración incorrecta en unos 10-15 segundos. Para una cobertura más profunda, el análisis de seguridad profundo está disponible bajo demanda y tarda unos 3 minutos. Los administradores del espacio de trabajo pueden activar la corrección automática para que el agente resuelva los hallazgos que puedan corregirse sin romper nada durante los análisis básicos, y pueden bloquear la publicación ante hallazgos críticos. Los espacios de trabajo Business y Enterprise pueden programar análisis profundos recurrentes en todos los proyectos.
Infraestructura protegida
Lovable Cloud está protegido por controles de firewall de aplicaciones web (WAF), aislamiento de red, almacenamiento de datos cifrado y limitación adaptativa de solicitudes a nivel de IP, usuario y espacio de trabajo.
Seguridad para fundadores
Pruebas de penetración con IA
Obtén un informe listo para auditorías de SOC 2, ISO 27001 y diligencia debida de inversores, que demuestre que tu aplicación es segura.
Leer más
Tu guía de seguridad para fundadores que usan Lovable
Lo que los inversores realmente buscan en una revisión de diligencia debida técnica, y cómo superarla.
Encuentra las vulnerabilidades antes de que ellas te encuentren a ti
Antes de cada publicación se ejecuta automáticamente un análisis de seguridad básico. Ejecuta cuando quieras un análisis profundo con IA para revisar todo tu código. Las comprobaciones de dependencias se ejecutan de forma continua en segundo plano mientras desarrollas.
Cumplimiento y certificaciones
Frequently asked questions
¿Dónde se almacenan los datos de los clientes?
Los datos de los clientes se alojan en Lovable Cloud en las regiones admitidas, incluidas la UE, EE. UU. y Australia. La residencia de los datos depende de la región y, de forma predeterminada, los datos no se trasladan entre regiones.
¿Se usan los datos de los clientes para entrenar la IA?
No. Las indicaciones, el código y los datos del espacio de trabajo de los clientes no se usan para entrenar los modelos de Lovable. Cuando se utilizan proveedores de IA externos, los acuerdos contractuales restringen el entrenamiento y la retención de los datos de los clientes.
¿Lovable es multiinquilino y cómo se aíslan los datos de los clientes?
Lovable es una plataforma multiinquilino con aislamiento lógico entre espacios de trabajo y proyectos. Los datos de los clientes no son accesibles entre cuentas. Los controles de aislamiento se aplican tanto en la capa de aplicación como en la de infraestructura.
¿Qué subencargados del tratamiento utiliza Lovable?
Lovable trabaja con un conjunto limitado de subencargados del tratamiento de infraestructura e IA. Todos los subencargados están cubiertos por acuerdos contractuales de protección de datos. Hay una lista actualizada de subencargados disponible a solicitud.
¿Lovable accede a nuestro código fuente o lo clona?
No. Lovable no clona los repositorios de Git de los clientes, no accede al código de las aplicaciones dentro de tus entornos ni requiere acceso interno a CI/CD. Tu código fuente, tus repositorios y tu infraestructura de producción permanecen dentro del perímetro de seguridad existente de tu organización. Lovable no despliega agentes dentro de los entornos de producción de los clientes ni introduce conexiones de red entrantes.
¿Lovable necesita acceso a nuestras canalizaciones de CI/CD o a nuestra infraestructura de producción?
No. Lovable no requiere acceso directo a las canalizaciones de CI/CD ni a la infraestructura de producción de los clientes. No despliega agentes dentro de los entornos de producción ni introduce conexiones de red entrantes. Todas las integraciones operan dentro de límites de permisos definidos.
¿Cómo se aplican los controles de publicación?
Los permisos de publicación se aplican en el servidor y no se pueden eludir mediante solicitudes del lado del cliente. La edición, la aprobación y la publicación son permisos independientes basados en roles. La publicación en producción puede requerir una aprobación explícita, y todos los eventos de publicación se registran con la atribución del usuario.
¿Cómo aplica Lovable el control de acceso basado en roles (RBAC)?
Lovable se integra con proveedores de identidad SAML y OIDC y admite SCIM para el aprovisionamiento y desaprovisionamiento automatizados. El acceso se basa en roles, con permisos definidos explícitamente para ver, editar, aprobar y publicar. Todas las comprobaciones de autorización se evalúan en el servidor en el momento de la solicitud.
¿Lovable admite el acceso con privilegios mínimos?
Sí. Lovable admite el acceso con privilegios mínimos mediante permisos basados en roles y la integración con proveedores de identidad empresariales. Las organizaciones pueden definir roles detallados para editar, aprobar y publicar, garantizando que los usuarios reciban solo el acceso necesario para sus responsabilidades. Las políticas de acceso se alinean con la identidad de la organización y la configuración del espacio de trabajo.
¿Cómo se gestionan los secretos y las credenciales de API?
Los secretos se cifran en reposo y se limitan a entornos específicos. El acceso a los secretos se controla por rol y es auditable. Los secretos pueden rotarse o revocarse sin necesidad de volver a desplegar todo el sistema. Las integraciones se ejecutan dentro de límites de permisos predefinidos para reducir la exposición no intencionada de credenciales.
¿Lovable realiza análisis de seguridad automáticos?
Sí. Cada vez que publicas se ejecuta automáticamente un análisis de seguridad básico que abarca las configuraciones de la base de datos, las políticas de RLS y los ajustes del proyecto en la nube (~10-15 segundos). El análisis de seguridad profundo está disponible bajo demanda y analiza toda tu base de código (~3 minutos). Los administradores del espacio de trabajo pueden activar la corrección automática para que el agente resuelva automáticamente los hallazgos no disruptivos, y pueden configurar el bloqueo de la publicación ante problemas críticos. Las comprobaciones de dependencias se ejecutan de forma continua en segundo plano con cada edición. Los administradores Business y Enterprise pueden programar análisis profundos recurrentes en todos los proyectos del espacio de trabajo.
¿Lovable cumple con SOC 2 o RGPD?
Lovable cumple con los requisitos de SOC 2 y RGPD, y proporciona documentación de seguridad y acuerdos de protección de datos para su revisión empresarial.
