Has lanzado un cotizador IA con Cursor, un portal del cliente con v0 o un agente de pedidos con Lovable. Auditamos antes de que un cliente vea las condiciones que firmaste con otro — o de que un token al ERP acabe filtrado.
Cada cliente B2B tiene su precio, su descuento, sus condiciones de pago, su disponibilidad reservada. Las herramientas IA que tu equipo construyó (cotizadores, portales del cliente, asistentes de pedidos) manejan todo eso. Cuando el filtro de pertenencia falla, el cliente Pequeño puede ver el precio que cobras al cliente Grande. Una auditoría externa lo encuentra antes que tu fuerza comercial.
Auditamos lo que tu equipo construyó con la lente del sector: aislamiento estricto entre cuentas de cliente, custodia de tokens del ERP, exposición de datos de coste y margen, y los puntos donde un agente IA tiene más permisos en tu ERP de los que debería tener.
Cada cliente solo ve sus precios, sus descuentos, sus plazos de pago. Verificamos a nivel de consulta SQL — no solo de UI — y a través de las APIs públicas que tu cotizador o portal expone.
Tokens hacia SAP, Holded, Odoo, Sage, Microsoft Dynamics. Qué puede leer el agente, qué puede escribir, qué nunca debería poder tocar (cuentas contables, condiciones marco, datos de proveedor). Bloqueo explícito.
Endpoints de cotización que devuelven stock interno, coste de proveedor o margen calculado en respuestas que el cliente puede inspeccionar. Lo que la UI esconde, la API a veces revela.
Si tu grupo tiene varias razones sociales, marcas o canales (mayorista vs. minorista), auditamos que un cliente del canal B no acceda a la base de datos del canal A vía un cambio de subdomain o de tenant id.
El cotizador funcionaba: cada cliente entraba con su email y veía su catálogo. La consulta de precios, sin embargo, leía el catálogo entero por cliente_id y filtraba en la UI. Cualquier cliente con DevTools veía la lista completa de precios — incluidos los del cliente que firma 10 veces más volumen. La integración con el ERP (Holded) usaba un token con permisos de escritura sobre cuentas contables que el agente nunca debía tocar.
14 hallazgos. 4 críticos: filtro de pertenencia movido al SQL, respuestas del cotizador depuradas para no incluir coste ni margen, token de Holded reemplazado por uno con permisos mínimos, política de logs que dejaba ver pedidos completos en Vercel. Los 10 hallazgos restantes documentados con plazo y propietario.
CRM empresarial con permisos finos — flujos de IA con respeto absoluto al modelo de datos.
Suite empresarial CRM/ERP en el ecosistema Microsoft — integración nativa con 365 y Power Platform.
ERP referente en distribución y manufactura de empresas medianas — extracción de documentos y orquestación operativa.
ERP en la nube español muy adoptado en pyme — automatización de facturación, gastos y conciliación.
ERP modular de código abierto — agentes y flujos de IA sobre módulos de ventas, inventario y proyectos.
Correo, calendario y SharePoint como canal y como contexto — triaje, redacción y búsqueda con RAG en tu correo y archivos.
Bajo NDA, con acceso de solo lectura al repositorio. No copiamos datos comerciales reales. Si la auditoría requiere probar un flujo real, usamos cuentas de prueba que tu equipo configura en staging.
Sí. Auditamos el conector: qué token usa, qué objetos puede leer, cuáles puede escribir, cómo distingue entornos (sandbox vs producción), cómo maneja errores y reintentos. Si el conector escribe en cuentas contables o stock, miramos con lupa qué reglas tiene para no escribir cuando no debería.
Auditamos los flujos de cotización y respuestas de API para encontrar si hay fugas de precio. No es monitorización en tiempo real — eso es otro servicio — pero el informe te dice qué cambiar para que la fuga no sea posible y cómo verificar que no ha ocurrido históricamente.
Sí — y suele ser donde más hallazgos hay. Multi-tenant en B2B mezcla razones sociales, subdominios, tablas compartidas y reglas de pricing que se solapan. Trazamos cada frontera y verificamos que el código la respeta, no solo la documentación.
Diseñamos soluciones con privacidad desde el inicio, control humano, trazabilidad, límites de uso, gestión de permisos y documentación. Para procesos sensibles, ayudamos a evaluar los riesgos y obligaciones aplicables bajo el RGPD y el Reglamento de IA.
Cada proyecto lo lidera personalmente uno de los socios. Si hay encaje, te respondemos en menos de 24 horas con una primera lectura concreta de tu caso — no con una demostración genérica.
