Manual de Arquitectura Técnica e Infraestructura
1. Métodos de Implementación
Safe ofrece flexibilidad total para adaptarse a las políticas de seguridad de datos de la organización, permitiendo mantener el procesamiento donde sea más eficiente.
• On‑premises (100% Local): Instalación de un servidor dedicado en cada sede. Todo el procesamiento de IA y el almacenamiento de vídeo permanecen dentro de la red privada del cliente, eliminando la dependencia de la nube para operaciones críticas.


• Modelo Híbrido: Despliegue de Edge Servers en cada planta para el procesamiento inmediato de vídeo (IA), reduciendo la latencia y el consumo de ancho de banda. Estos se conectan a un punto central (Nube Privada o Pública) que consolida las alertas y reportes de múltiples sedes.
2. Visión General del Stack Tecnológico
Safe utiliza una arquitectura modular basada en microservicios contenerizados, lo que permite una implementación ágil tanto en servidores locales (On-premises) como en entornos híbridos. A diferencia de infraestructuras más pesadas, nuestro stack nativo elimina capas innecesarias de abstracción, maximizando el rendimiento del hardware.

2.1. Capa de Cliente y Fuentes Externas
• CLIENTE (Navegador): Interfaz de usuario principal. Consume vídeo en vivo y visualiza eventos.
• FUENTES DE VÍDEO: Cámaras IP (vía RTSP) o Webcams que alimentan el sistema desde fuera.
2.2. Capa de Entrada (Edge)
• PUERTA DE ENTRADA (API Gateway / Reverse Proxy):
· Punto único de entrada para todo el tráfico externo (HTTP/HTTPS, WebSockets).
· Se encarga de enrutar las peticiones hacia los servicios internos correspondientes.
2.3. Capa de Servicios (Backend/Microservicios)
• APLICACIÓN WEB (Core):
· Sirve el Frontend.
· Proporciona la API REST para gestión.
· Maneja Autenticación y Autorización.
· Gestión de entidades: usuarios, cámaras, flujos, eventos.
· Conecta con: Base de Datos y Almacenamiento de Objetos.
• SERVIDOR DE STREAMING:
· Ingesta de vídeo.
· Salida de vídeo para el cliente (HLS/WebRTC).
· Protección de flujos mediante token.
• SERVIDOR DE EMAIL (Opcional):
· Envío de notificaciones y alertas por correo.
• API DE INFERENCIA (IA):
· Captura flujos de vídeo de las cámaras.
· Realiza detección de objetos, análisis de pose y tracking.
· Conecta con: Cola de Mensajes (publica resultados).
• SERVIDOR DE EVENTOS EN TIEMPO REAL:
· Maneja conexiones WebSockets.
· Realiza "Push" de eventos procesados hacia el cliente.
2.4. Capa de Procesamiento y Orquestación
• COLA DE MENSAJES:
· Búfer intermedio que recibe las detecciones crudas de la IA.
• ORQUESTADOR (Cerebro del negocio):
· Consume detecciones de la Cola de Mensajes.
· Lee la configuración de cámaras y zonas desde la Base de Datos.
· Evalúa reglas de negocio complejas para crear eventos y alarmas.
· Gestiona el estado (inicio/parada) del análisis por cámara.
· Conecta con: Base de Datos, Almacenamiento de Objetos, Servidor de Eventos (para notificar al cliente) y Servidor de Email.
2.5. Capa de Persistencia (Almacenamiento)
• BASE DE DATOS (Relacional/Documental):
· Almacena datos estructurados: Usuarios, Organizaciones, Configuración de Cámaras/Flujos/Zonas, Historial de Eventos, Sesiones.
• ALMACENAMIENTO DE OBJETOS (Archivos):
· Almacena datos no estructurados: Imágenes de los eventos, avatares de usuario, reportes generados.
3. Infraestructura y Despliegue
Safe se despliega mediante en sistemas Linux con Docker Compose, lo que facilita la portabilidad y la consistencia entre entornos, y en Windows de forma nativa.
3.1. Segregación de Entornos (SDLC)
Para garantizar la estabilidad del servicio, el desarrollo de Safe sigue un ciclo de vida (SDLC) con entornos de ejecución totalmente aislados:
• Entorno de Desarrollo/Test: Donde se validan nuevas analíticas o funciones sin afectar la planta real.
• Entorno de Producción: Configuración optimizada para alta disponibilidad y rendimiento máximo del hardware.
3.2. Seguridad de Capas
• Aislamiento de Red: en Linux, los contenedores se ejecutan en una red interna privada de Docker, exponiendo únicamente los servicios necesarios (80/443) a través de Traefik.
• Gestión de Acceso: El acceso administrativo a la infraestructura se realiza mediante protocolos seguros como SSH (puerto 22) con autenticación obligatoria.
4. Gestión de Persistencia y Recuperación
• Base de Datos (PostgreSQL): Almacena la configuración de cámaras, usuarios y registros históricos de alertas.
• Almacenamiento de Objetos: Actúa como un repositorio S3 local para almacenar fragmentos de vídeo y evidencias de infracciones de seguridad.
• Continuidad: En configuraciones críticas, se recomienda la replicación de datos para minimizar el Punto de Recuperación (RPO) en caso de fallo de hardware.
5. Segregación de Datos y Multi-tenencia (Multi-tenancy)
Para clientes con múltiples sedes o departamentos, Safe garantiza una seguridad lógica total donde los datos nunca se mezclan.
• Tenant ID Único: Cada entidad del sistema (cámaras, alertas, grabaciones y usuarios) se vincula de forma irrevocable a un identificador de cliente (Tenant ID) único.
• Filtro Automático de Tenencia: El sistema aplica automáticamente un filtro en cada consulta a la base de datos o solicitud de archivos; esto asegura que un usuario solo pueda visualizar o gestionar los recursos que pertenecen estrictamente a su "tenant".
6. Gestión de Vídeo de Alta Disponibilidad
Para la visualización de cámaras sin retardo, Safe implementa un visor mediante MediaMTX. Este componente permite:
• Ingesta: Recepción de flujos de cámaras IP vía RTSP o webcams de navegador.
• Salida Multiformato: Conversión dinámica a HLS o WebRTC, permitiendo una visualización fluida en cualquier navegador moderno con baja latencia
7. Tabla de Sub-procesadores y Cumplimiento
En línea con nuestra política de transparencia, detallamos los servicios de terceros utilizados para funciones auxiliares y sus certificaciones de seguridad.
| Sub-procesador / Tercero | Función en el Stack | Datos Procesados / Transferidos | Certificaciones de Seguridad |
|---|---|---|---|
| Cloudflare | CDN, protección WAF y caching de activos web. | Metadatos de tráfico (IP, navegador), activos estáticos (JS, CSS). | SOC 2 Type II, ISO 27001, PCI DSS.+1 |
| Resend / SMTP | Envío de notificaciones de alertas y diagnósticos. | Direcciones de email, contenido de la alerta y capturas de evidencia. | SOC 2 Type II, Cumplimiento GDPR. |
| PostHog | Analítica de uso y experiencia de usuario. Solo en demo web | Eventos de navegación, clics e identificación de usuario (opcional). | SOC 2, ISO 27001, HIPAA. |
| Vercel Analytics | Métricas de rendimiento y Speed Insights. Solo en demo web | Tiempos de carga, métricas web vitals y uso de la aplicación. | SOC 2 Type II, ISO 27001. |
| Sentry | Monitoreo de errores y estabilidad en tiempo real. | Trazas de errores, contexto de sesión y logs de fallos en el código. | SOC 2 Type II, ISO 27001, HIPAA. |
Nota para instalaciones Full On-Premise: En despliegues 100% locales, estos servicios son sustituidos por servicios internos del cliente para garantizar la soberanía total del dato.
Contacto y Soporte
Para consultas técnicas sobre compatibilidad de hardware o presupuestos personalizados, contacte con:
• Soporte Técnico: support@safe.ai
• Ventas: commercial@safe.ai

