Seguro por diseño
Elige dónde viven tus datos, aplica SSO y acceso basado en roles, controla la publicación con aprobaciones y mantén tu código y prompts fuera del entrenamiento de modelos.
Controles de seguridad enterprise
Acceso y control
Lovable se integra con proveedores SAML y OIDC, incluidos Okta, Azure AD y Google. SCIM admite aprovisionamiento y desaprovisionamiento automatizados. Los permisos se basan en roles y se aplican del lado del servidor para visualización, edición, aprobación y publicación.
Guardrails para construir y publicar
La edición, la aprobación y la publicación son permisos separados. El acceso público se controla por rol y configuración de entorno, para que los equipos puedan moverse rápido sin riesgo de exposición accidental.
Los secretos se gestionan de forma segura
Los secretos se cifran en reposo y el acceso se controla por rol. No se exponen en texto plano en logs ni interfaces. El acceso se limita a entornos y acciones autorizados.
Residencia de datos
Lovable Cloud admite alojamiento regional de datos en la UE, EE. UU. y Australia. Los datos de los clientes permanecen en la región que selecciones y no se trasladan entre regiones de forma predeterminada. Somos transparentes sobre nuestra infraestructura y subencargados del tratamiento, para que siempre sepas dónde residen tus datos y cómo se gestionan.
Tus datos no se usan para entrenar modelos
No usamos prompts, código ni datos de espacios de trabajo de clientes para entrenar modelos de Lovable. Cuando trabajamos con proveedores de IA, los acuerdos contractuales restringen el entrenamiento y la retención de datos de clientes. Tu trabajo sigue siendo tuyo.
Aislamiento por diseño
Cada espacio de trabajo y proyecto está separado lógicamente. Los datos de los clientes no son accesibles entre cuentas. Los límites de entorno están definidos explícitamente y se evalúan antes de publicar cambios, lo que garantiza la separación entre desarrollo y producción.
Monitoreo continuo y detección de abusos
Lovable monitorea continuamente la actividad de la plataforma para detectar uso indebido, comportamiento anómalo y vulneraciones. Los sistemas automatizados aplican límites de frecuencia y detectan abusos entre usuarios y espacios de trabajo, y nuestro equipo de confianza y seguridad revisa la actividad de alto riesgo.
Análisis de seguridad automático
El código generado, las dependencias y las configuraciones se analizan automáticamente en busca de vulnerabilidades y ajustes inseguros. Los hallazgos se clasifican por gravedad y se muestran antes del despliegue. Las pruebas de seguridad independientes y las evaluaciones periódicas fortalecen nuestros controles con el tiempo.
Infraestructura protegida
Lovable Cloud está protegido por controles de firewall de aplicaciones web (WAF), aislamiento de red, almacenamiento de datos cifrado y limitación de frecuencia adaptable a nivel de IP, usuario y espacio de trabajo.
Seguridad para fundadores
Pruebas de penetración con IA
Obtén un informe listo para auditorías de SOC 2, ISO 27001 y due diligence de inversores, que demuestre que tu app es segura.
Leer más
Tu guía de seguridad como fundador de Lovable
Lo que los inversores realmente buscan en una revisión técnica de due diligence, y cómo aprobarla.
Encuentra vulnerabilidades antes de que ellas te encuentren
Cuatro analizadores automatizados revisan tus políticas RLS, el esquema de la base de datos, el código de la aplicación y las dependencias, de forma continua mientras construyes y automáticamente antes de publicar.
Conforme y certificado
Frequently asked questions
¿Dónde se almacenan los datos de los clientes?
Los datos de los clientes se alojan en Lovable Cloud en regiones admitidas, incluidas la UE, EE. UU. y Australia. La residencia de datos es específica de cada región y no se traslada entre regiones de forma predeterminada.
¿Se usan los datos de los clientes para entrenar IA?
No. Los prompts, el código y los datos de espacios de trabajo de clientes no se usan para entrenar modelos de Lovable. Cuando se usan proveedores de IA externos, los acuerdos contractuales restringen el entrenamiento y la retención de datos de clientes.
¿Lovable es multiinquilino y cómo se aíslan los datos de los clientes?
Lovable es una plataforma multiinquilino con aislamiento lógico entre espacios de trabajo y proyectos. Los datos de los clientes no son accesibles entre cuentas. Los controles de aislamiento se aplican tanto en la capa de aplicación como en la de infraestructura.
¿Qué subencargados del tratamiento usa Lovable?
Lovable trabaja con un conjunto limitado de subencargados de infraestructura e IA. Todos los subencargados están cubiertos por acuerdos contractuales de protección de datos. Hay una lista actualizada de subencargados disponible bajo solicitud.
¿Lovable accede a nuestro código fuente o lo clona?
No. Lovable no clona repositorios Git de clientes, no accede al código de la aplicación dentro de tus entornos ni requiere acceso interno a CI/CD. Tu código fuente, repositorios e infraestructura de producción permanecen dentro del perímetro de seguridad existente de tu organización. Lovable no despliega agentes dentro de los entornos de producción de clientes ni introduce conexiones de red entrantes.
¿Lovable requiere acceso a nuestras canalizaciones CI/CD o infraestructura de producción?
No. Lovable no requiere acceso directo a canalizaciones CI/CD ni a infraestructura de producción de clientes. No despliega agentes dentro de entornos de producción ni introduce conexiones de red entrantes. Todas las integraciones operan dentro de límites de permisos definidos.
¿Cómo se aplican los controles de publicación?
Los permisos de publicación se aplican del lado del servidor y no se pueden eludir mediante solicitudes del lado del cliente. La edición, aprobación y publicación son permisos separados basados en roles. La publicación en producción puede requerir aprobación explícita, y todos los eventos de publicación se registran con atribución de usuario.
¿Cómo aplica Lovable el control de acceso basado en roles (RBAC)?
Lovable se integra con proveedores de identidad SAML y OIDC, y admite SCIM para aprovisionamiento y desaprovisionamiento automatizados. El acceso se basa en roles, con permisos definidos explícitamente para ver, editar, aprobar y publicar. Todas las comprobaciones de autorización se evalúan del lado del servidor en el momento de la solicitud.
¿Lovable admite acceso de mínimo privilegio?
Sí. Lovable admite acceso de mínimo privilegio mediante permisos basados en roles e integración con proveedores de identidad empresariales. Las organizaciones pueden definir roles granulares para editar, aprobar y publicar, lo que garantiza que los usuarios reciban solo el acceso requerido para sus responsabilidades. Las políticas de acceso se alinean con la identidad organizacional y la configuración del espacio de trabajo.
¿Cómo se gestionan los secretos y las credenciales de API?
Los secretos se cifran en reposo y se limitan a entornos específicos. El acceso a secretos está controlado por roles y es auditable. Los secretos se pueden rotar o revocar sin requerir un redespliegue completo del sistema. Las integraciones se ejecutan dentro de límites de permisos predefinidos para reducir la exposición no deseada de credenciales.
¿Lovable realiza análisis de seguridad automatizados?
Sí. Lovable analiza automáticamente el código generado, los árboles de dependencias y las configuraciones de bases de datos en busca de vulnerabilidades conocidas y configuraciones inseguras. Los hallazgos se clasifican por gravedad y se muestran antes del despliegue a nivel del espacio de trabajo. El análisis de seguridad forma parte del flujo de desarrollo predeterminado.
¿Lovable cumple con SOC 2 o GDPR?
Lovable admite los requisitos de SOC 2 y GDPR, y proporciona documentación de seguridad y acuerdos de protección de datos para revisión empresarial.
