# Plantilla de memo de aprobación de IT y legal para el conector de workspace de Mycelium

Esta plantilla te ayuda a ti, admin del workspace, a preparar un memo interno para tus equipos de IT y legal ANTES de hacer click en "Conectar" en un flujo OAuth de Google Workspace empresarial, Slack, Notion o similar en Mycelium.

Copia la plantilla abajo, llena los [CORCHETES] con los detalles específicos de tu empresa y envíala a tus contactos de IT y legal para aprobación por escrito. Después regresa a Mycelium y completa la instalación.

Última actualización: 2026-05-26. Fuente autoritativa: https://mycelium-ai.co/es/seguridad.

---

## 1. Asunto

Solicitud de aprobación de IT y legal: conectar las herramientas de [TU EMPRESA] con la memoria de workspace de Mycelium AI.

## 2. Resumen ejecutivo

[TU EMPRESA] está evaluando Mycelium AI, una capa de memoria empresarial multi-tenant que se conecta a nuestras herramientas de colaboración y conocimiento actuales y entrega una superficie unificada de búsqueda y recuperación asistida por IA para el equipo.

Para completar la instalación, un admin (yo) necesita autorizar a Mycelium a leer de [LISTA DE CONECTORES ABAJO]. Antes de hacerlo, le pido a IT y a legal revisar los scopes del conector, los compromisos de manejo de datos y el estado de auditoría, y confirmar que tenemos la autoridad legal para ingerir el contenido listado abajo.

Este memo resume qué ingiere Mycelium, qué omite, cómo guarda los datos, cómo los comparte y qué compromisos tiene codificados Mycelium.

## 3. Conectores que propongo autorizar

Para la instalación inicial en [TU EMPRESA], propongo conectar:

- [ ] Google Workspace de la empresa (Gmail, Drive, Calendar)
- [ ] Workspace de Slack de la empresa
- [ ] Workspace de Notion de la empresa
- [ ] Organización de GitHub de la empresa
- [ ] Otro: [LISTA]

NO propongo conectar:

- [ ] [LISTA cualquier cosa explícitamente retenida, ej. Confluence legal, Drive de finanzas, canales de Slack ejecutivos]

## 4. Qué ingiere Mycelium por defecto por conector

Mycelium incluye filtros inteligentes por defecto por fuente. Los valores predeterminados de abajo ingieren el contenido más útil para una base de conocimiento operativa mientras omiten explícitamente contenido de baja señal o sensible. El admin del workspace puede ajustar los valores predeterminados aún más por fuente.

| Fuente | Ingiere por defecto | Omite por defecto |
|---|---|---|
| Gmail | Correos enviados + correos recibidos a los que el usuario respondió + últimos 12 meses | Newsletters, automatización de marketing, alertas automáticas, spam |
| Slack | Canales donde el usuario es miembro activo + DMs + menciones al usuario + últimos 12 meses | Canales donde el usuario solo lee, mensajes de bots, notificaciones de unirse y salir |
| Notion | Páginas que el usuario editó o creó + docs de equipo a los que el usuario tiene acceso | Páginas que el usuario solo vio, páginas archivadas |
| Google Drive | Docs, sheets, slides que el usuario creó o editó + últimos 12 meses | Archivos sobre 100MB, archivos solo compartidos con el usuario que nunca abrió, papelera |
| Calendar | Eventos a los que el usuario asistió u organizó + asistentes + notas adjuntas | Eventos que el usuario rechazó, all-hands recurrentes que el usuario nunca toca |
| GitHub | Repos donde el usuario hizo commit + issues que el usuario creó o comentó | Repos que el usuario solo dio star |

Anulaciones a nivel de admin:

- Slack: lista de canales permitidos o bloqueados. El admin puede excluir #execs, #hr, #legal.
- Google Drive: lista de drives compartidos y carpetas permitidos. El admin puede excluir /finance, /legal, /exec.
- Notion: lista de workspaces y bases de datos permitidos. El admin puede excluir páginas privadas de fundadores.
- GitHub: lista de repos permitidos. El admin puede excluir repos sensibles de seguridad.
- Calendar: opt-in por usuario. El admin puede pasar a opt-in por usuario en lugar de opt-in por toda la organización.

## 5. Cifrado

- Credenciales y refresh tokens: cifrados en reposo en la capa de almacenamiento usando AES-256.
- Contenido del cliente en reposo: AES-256, gestionado por Postgres.
- En tránsito: TLS 1.3 en la frontera pública.
- Llaves de cifrado por tenant (BYOK): disponible en el tier Mycelium Enterprise; rotación de llave vía la API de admin.

## 6. Los ocho compromisos de confianza que entrega Mycelium

1. **Credenciales cifradas en reposo.** Tokens OAuth, refresh tokens y API keys se cifran en reposo en la capa de almacenamiento.
2. **Desconectar es igual a eliminar en 24 horas.** Cuando el admin del workspace desconecta un conector, los datos ingeridos de esa fuente se eliminan en 24 horas.
3. **Nunca se usa para entrenamiento.** El contenido del cliente nunca se usa para entrenar ningún modelo de IA. Codificado en los Términos de Servicio de Mycelium.
4. **BYO inferencia.** El contenido del cliente nunca llega a un endpoint de inferencia controlado por Mycelium a menos que el workspace explícitamente opte por Hosted Pass-Through. El default es BYO subscripción.
5. **Pausar sincronización.** Un toggle de un click pausa la ingesta en todas las fuentes sin desconectarlas. Útil para retenciones legales, ventanas de M y A e investigaciones internas.
6. **Registro de auditoría en Team y Enterprise.** Cada consulta de búsqueda y cada invocación de IA se registra con timestamp, identidad del actor, IP de origen y el payload de la consulta. Exportable bajo demanda.
7. **La capa personal es privada en Team.** Los miembros del workspace pueden conectar fuentes personales (Gmail personal, Notion personal, etc.) encima del cerebro de la empresa. La capa personal es privada para ese usuario: los admins no la pueden ver, los otros miembros del equipo no la pueden ver, y no alimenta el cerebro de la empresa.
8. **Auditoría de seguridad de tercero + SOC 2 Type II en progreso.** Mycelium ha contratado una auditoría de seguridad de tercero y está corriendo un período de observación SOC 2 Type II. Ambos salen antes de que entre el primer cliente pago.

Fuente autoritativa para los ocho compromisos: https://mycelium-ai.co/es/seguridad.

## 7. Estado de auditoría

- Firma de auditoría de seguridad de tercero: [en selección de proveedor; publicado en https://mycelium-ai.co/es/seguridad#audit-status cuando se firme]
- Fecha de arranque de auditoría de tercero: [pendiente de selección de proveedor]
- Inicio del período de observación SOC 2 Type II: [pendiente]
- Certificación SOC 2 Type II: AÚN no certificado. Mycelium no afirma "SOC 2 certificado" hasta que el reporte SOC 2 Type II esté en mano. La insignia en la página de Seguridad dice "en progreso" durante el período de observación.

## 8. Subprocesadores

La lista actual de subprocesadores de Mycelium está publicada en https://mycelium-ai.co/subprocessors. Mycelium se compromete a 30 días de aviso anticipado por escrito antes de agregar un nuevo subprocesador, con derecho a objeción durante el período de aviso. Las fallas materiales de seguridad de un subprocesador se notifican a los clientes en 24 horas.

## 9. Residencia de datos

Opciones US y EU en despliegues respaldados por Vercel + AWS. Anclaje de región configurable por tenant en el motor de ejecución productizado. Región por defecto: US. Especifica si tu postura legal requiere anclaje en EU: [SÍ / NO].

## 10. Data Processing Addendum

El DPA de Mycelium está publicado en https://mycelium-ai.co/dpa. Mycelium firma el DPA como Procesador bajo GDPR / UK GDPR / CCPA / LGPD. La lista de sub-procesadores y la cadencia de notificación están en el DPA.

## 11. Flujo de empleado saliente

Cuando el admin del workspace remueve a un usuario del workspace:

1. El contenido de la capa personal del usuario se exporta a ellos en 7 días (archivo descargable).
2. Después de 7 días, el contenido de la capa personal se elimina de Mycelium.
3. El cerebro de la empresa se mantiene intacto. Los datos vivían en Slack, Notion, Drive, etc. primero; removerlos de Mycelium dejaría huérfano el conocimiento de la empresa.
4. Las entradas del registro de auditoría de ese usuario se retienen para compliance (default 12 meses en Team, extensible en Enterprise).
5. Las credenciales SSO y de autenticación se revocan inmediatamente. Sin período de gracia.

## 12. Preguntas para hacerle a Mycelium

Preguntas recomendadas para que tus equipos de IT y legal confirmen con Mycelium por escrito:

- ¿Cuál es la versión actual de su DPA? ¿Cuándo se actualizó por última vez?
- ¿Han completado auditorías de seguridad independientes? Si sí, ¿podemos ver el resumen ejecutivo bajo NDA?
- ¿Cuál es su SLA de respuesta a incidentes desde el descubrimiento hasta la notificación al cliente?
- ¿Dónde se sienta físicamente nuestra data? ¿Qué regiones de AWS, qué regiones de Vercel?
- ¿Cuál es su cadencia de divulgación de subprocesadores?
- ¿Cuál es su política de divulgación de vulnerabilidades y cómo reportamos un hallazgo?
- ¿Podemos negociar un tope contractual sobre la retención de los registros de auditoría?
- ¿Qué pasa con nuestros datos al terminar el contrato?

Las respuestas a la mayoría están públicas en https://mycelium-ai.co/es/seguridad, https://mycelium-ai.co/dpa, https://mycelium-ai.co/es/privacidad y https://mycelium-ai.co/subprocessors. Confirmarlas por escrito como parte de la carta de compromiso es el camino recomendado.

## 13. Próximos pasos recomendados para IT y legal

1. Revisar la lista de scope de conectores en la Sección 3 arriba y confirmar que el admin (yo) tiene la autoridad legal para autorizar la ingesta al scope propuesto.
2. Revisar los ocho compromisos en la Sección 6 y confirmar adiciones o exclusiones que necesite la empresa.
3. Revisar el DPA en https://mycelium-ai.co/dpa y marcar cualquier brecha relativa a los términos estándar de procesador de [TU EMPRESA].
4. Decidir la región de residencia de datos (US por defecto, EU disponible).
5. Decidir el tope de almacenamiento y la ventana de retención del registro de auditoría si necesitan una desviación de los valores predeterminados.
6. Aprobar por escrito. Voy a esperar a conectar hasta que tenga su aprobación.

Si alguna línea en este memo no es honesta o no es clara, por favor díganme antes de proceder. El compromiso de Mycelium es ser honesto sobre qué se ingiere y qué se omite, no sobre-prometer. Si una pregunta aquí no se responde por escrito, esa es una razón para demorar la instalación, no una razón para dejarla pasar.

## 14. Contacto

- Admin del workspace (yo): [TU NOMBRE], [TU CORREO]
- Contacto de privacidad de Mycelium: privacy@mycelium-ai.co
- Contacto de seguridad de Mycelium: security@mycelium-ai.co
- Página autoritativa de Seguridad: https://mycelium-ai.co/es/seguridad
- Política autoritativa de Privacidad: https://mycelium-ai.co/es/privacidad
- Data Processing Addendum autoritativo: https://mycelium-ai.co/dpa

---

*Esta plantilla está publicada por Mycelium AI bajo los mismos términos que el resto de mycelium-ai.co. Eres libre de copiarla, modificarla y usarla para tu propio proceso interno de aprobación de IT y legal.*
