Descargar

Whitepaper de seguridad

Cómo se implementa la privacidad on-device en Cove.

Este documento es para equipos de cumplimiento, decisores de TI y usuarios escépticos. Listamos cada llamada de red saliente que pueden hacer las apps de Cove, cómo se verifica el modelo, qué datos se conservan dónde y nuestra postura sobre marcos de la industria (HIPAA / GDPR / ISO 27001).

Versión 1.0 Última actualización: 29-04-2026

Resumen ejecutivo

Las apps de Cove procesan todo el contenido del usuario (fotos, voz, transcripciones, entradas de salud, traducciones) enteramente en el dispositivo Android del usuario. Ningún dato de contenido se sube nunca a servidores de Cove, proveedores externos de IA ni plataformas de analítica. Las únicas llamadas salientes son: descarga del modelo desde Hugging Face, verificación de compra en Google Play, suscripción opcional al boletín y reportes anónimos opcionales de fallos. No hay servidores controlados por Cove que manejen contenido de usuario.

Llamadas de red salientes — lista exhaustiva

Cada llamada de red que cualquier app de Cove puede iniciar, por propósito. Nos comprometemos con esta lista — añadir cualquier nuevo tipo de llamada requiere una versión nueva de la app y se documenta en el changelog.

  • Descarga del modelo desde Hugging Face

    Purpose
    Al primer arranque, descarga los pesos de Gemma 4 E2B (~2,5 GB, cuantización Q4_0 — el mismo archivo para gratis y Pro)
    Endpoint
    huggingface.co/litert-community (espejo LiteRT-LM del lanzamiento oficial Gemma de Google)
    Data
    Nada saliente. Entrante: archivo de pesos del modelo.
    Frequency
    Una vez por dispositivo — el mismo archivo Gemma 4 E2B se reutiliza entre las cuatro apps de Cove
    User control
    Se puede saltar precolocando el archivo del modelo en /sdcard/GemmaApp/models/

  • Verificación de compra en Google Play

    Purpose
    Verificar la actualización Pro vía Google Play Billing Library
    Endpoint
    Servidores de Google Play (gestionados por la Billing Library, no por Cove)
    Data
    Email de cuenta Google + token de compra (manejados por Google, nunca vistos por servidores de Cove — no tenemos)
    Frequency
    Al intentar actualizar a Pro y al revalidar el derecho Pro (silencioso, ~diario por servicios Play)
    User control
    Necesario para usar funciones Pro. La capa gratuita nunca dispara esta llamada.

  • Suscripción al boletín (opt-in)

    Purpose
    Suscribirse al boletín por correo de Cove (solo desde el sitio covebase.app)
    Endpoint
    Instancia auto-hospedada de Listmonk (infraestructura Cove)
    Data
    Solo dirección de correo
    Frequency
    Una vez por intento de suscripción
    User control
    Totalmente opt-in vía formulario web. Las apps no recogen correo.

  • Reportes de fallo anónimos (opt-in)

    Purpose
    Ayudar a diagnosticar problemas de estabilidad
    Endpoint
    Instancia auto-hospedada de Sentry (infraestructura Cove)
    Data
    Stack trace, versión Android, modelo de dispositivo, versión app. SIN contenido del usuario. PII filtrada antes de enviar.
    Frequency
    En evento de crash (ojalá poco frecuente)
    User control
    Desactivado por defecto. Ajustes → Privacidad → Reportes de fallo para activar.

Verificación de integridad del modelo

Antes de cargar el modelo Gemma 4 E2B, Cove verifica su hash SHA-256 contra un hash esperado embebido en la app para esa versión. Si no coincide, el modelo se rechaza y se pide al usuario re-descargar. Esto protege contra (a) descargas corruptas y (b) manipulación del archivo del modelo por actores con acceso al sistema de archivos. No cargamos pesos no verificados — es una restricción dura.

Registro de hashes del modelo

Model variant Approx. size Hash algorithm Hash source
Gemma 4 E2B (Q4_0, default) ~2.5 GB SHA-256 embedded + signed
Gemma 4 E4B (Q4_0, optional upgrade) ~3.6 GB SHA-256 embedded + signed
Gemma 4 E2B (Q4_0, prior release — kept for rollback) ~2.5 GB SHA-256 embedded + signed

Retención de datos — qué se guarda dónde

Todo el contenido de usuario se queda en el dispositivo. Abajo está el inventario.

  • Historial de traducciones

    Where
    Base SQLite local (Room) en /data/data/com.gemmaapp.travellens/databases/
    Retention
    Hasta que el usuario borre (pantalla de Historial) o desinstale la app
    Encryption
    Cifrado de sistema de archivos por defecto de Android (cifrado completo en Android 6+)

  • Grabaciones de voz + transcripciones

    Where
    Archivos de audio en almacenamiento privado de la app; transcripciones en BD Room
    Retention
    Hasta que el usuario borre desde la biblioteca o desinstale la app
    Encryption
    Cifrado por defecto de Android

  • Análisis de fotos + historial

    Where
    Base SQLite local en /data/data/com.gemmaapp.photolens/databases/
    Retention
    Hasta que el usuario borre o desinstale la app. Las fotos originales se guardan solo si el usuario las salva explícitamente.
    Encryption
    Cifrado por defecto de Android

  • Entradas de diario de salud

    Where
    Base SQLite local en /data/data/com.gemmaapp.healthlens/databases/, cifrada AES-256 en reposo con clave derivada del Android Keystore
    Retention
    Hasta que el usuario borre o desinstale la app. Entradas relevantes para SOS no se sincronizan a ningún sitio.
    Encryption
    AES-256-GCM con clave sellada en Android Keystore (capa adicional sobre el cifrado por defecto del dispositivo — los datos de salud merecen esa capa extra)

Postura de cumplimiento

Somos un estudio independiente pequeño y Cove es software de consumidor. No reclamamos certificaciones que no tenemos. Abajo está nuestra postura honesta sobre los marcos que más se preguntan.

  • HIPAA (sanidad de EE. UU.)

    No somos Business Associate. Cove Health no es un sistema cubierto por HIPAA. Sin embargo, el diseño on-device implica que los datos de paciente dictados a Cove no salen del dispositivo — si la política de tu organización lo permite es algo entre tú y tu equipo de cumplimiento.

  • GDPR (privacidad UE)

    Minimalista por diseño. No recogemos datos de contenido. Los únicos datos personales procesados son: correo opcional (boletín), reportes opcionales de fallos (PII filtrada) y registros de compra de Google Play (manejados por Google como procesador independiente). Derecho a borrar: desinstalar la app + cancelar suscripción (un click).

  • ISO 27001

    No certificado. Los estudios independientes pequeños rara vez tienen presupuesto para certificación ISO — no encaja con una app de $3.99. Los controles técnicos descritos en este documento cubren la mayoría de las amenazas que ISO 27001 atiende.

  • SOC 2

    No certificado. Mismo razonamiento que ISO 27001. No operamos servicios cloud para contenido de usuario, lo cual quita la mayor parte del alcance de SOC 2.

Divulgación de vulnerabilidades

Si encuentras un problema de seguridad, escribe a [email protected] (alias de [email protected], pero esta dirección lo enruta como reporte de seguridad). Nos comprometemos a: confirmar en 3 días hábiles, investigar en 14 días, y dar crédito en el changelog (si quieres ser nombrado). No tenemos programa de bug bounty todavía — somos demasiado early-stage — pero con gusto enviamos claves de Cove Pro como agradecimiento por reportes válidos.

Preguntas para equipos de cumplimiento / legales

Si tu organización está evaluando Cove para uso del personal y necesita una evaluación más detallada (cuestionario firmado, revisión de política de seguridad), escribe a [email protected] con tus requisitos específicos.

Email [email protected] Ver auditoría de red