FutrixData logo FutrixData
Cliente de base de datos seguro

Un cliente de base de datos seguro construido para equipos (y agentes de IA)

La mayoría de clientes de base de datos están diseñados para desarrolladores en solitario. FutrixData está construido para que un equipo pueda responder a dos preguntas en cualquier momento: "quién ejecutó qué" y "quién vio qué datos". La misma política aplica a los ingenieros en la app de escritorio y a los agentes de IA que llaman por MCP.

Qué significa "seguro" en un cliente de base de datos

Para un equipo que tiene que responder ante un regulador de privacidad, un ingeniero de seguridad o una revisión interna, "cliente de base de datos seguro" se reduce a cuatro propiedades:

  1. Atribución por identidad. Cada consulta se asocia a un usuario o agente real, no a una cuenta de servicio compartida.
  2. Enmascaramiento a nivel de campo en la ruta de resultados del agente. Las columnas sensibles se sustituyen por hashes seudonímicos estables respaldados por secreto antes de que la fila se devuelva a quienes invocan por MCP, Skill o CLI. La Consola (humano autorizado) devuelve filas en bruto por diseño.
  3. Guardarraíles del lado del servidor. Las operaciones destructivas se gobiernan mediante reglas en la pasarela — no mediante diálogos del lado del cliente que el usuario pueda descartar. Conservador en la ruta del agente: los fallos de parser, los casos límite multi-sentencia y las sentencias desconocidas escalan a aprobación en lugar de auto-permitirse.
  4. Auditoría local encadenada por hash. Cada fila lleva el hash de la fila anterior; un CLI integrado audit verify detecta filas modificadas, eliminadas, insertadas o reordenadas en la cadena. Verificación local únicamente — consulta limitations para lo que no detecta.

FutrixData incluye las cuatro de fábrica.

La superficie de control

PreocupaciónMecanismo
Exposición de credencialesLas cadenas de conexión residen en el host de FutrixData. Ingenieros y agentes se autentican; nunca ven las credenciales en bruto.
PII en pantalla / en promptsClasificación de sensibilidad L1–L5 + enmascaramiento HMAC determinista respaldado por secreto aplicado en la ruta de resultados del agente. La Consola devuelve filas en bruto para humanos autorizados.
Consultas destructivasConjuntos de reglas por base de datos — DELETE/UPDATE sin WHERE, DROP, TRUNCATE, FLUSHALL, dropDatabase, _delete_by_query, etc.
Consultas ampliasEl EXPLAIN previo en SQL/Mongo/D1 escala el riesgo en escaneos completos, índices ausentes y paginación profunda.
Acceso por identidadClaves por usuario, claves por agente; la revocación es inmediata y conserva el historial de auditoría.
AuditoríaCada llamada registra identidad, fuente, destino, sentencia, resultado y la regla coincidente.

Encaje con cumplimiento

FutrixData no es una certificación — tu organización sigue siendo dueña de su programa SOC 2, ISO 27001, RGPD o HIPAA — pero la pasarela te da artefactos concretos que la mayoría de los clientes de base de datos no producen:

Consulta trust para el mapa de rutas de datos y el estado de capacidades, y limitations para lo que la pasarela no es.

Misma pasarela, mismos guardarraíles — calibrados para humanos vs. agentes

La Consola de escritorio (humanos) y las llamadas MCP / Skill / CLI (agentes de IA) llegan a la misma pasarela, los mismos guardarraíles de consultas y el mismo log de auditoría local encadenado por hash. El único lugar donde el comportamiento difiere por diseño es el enmascaramiento:

Puedes endurecer o relajar el enmascaramiento por fuente de datos. No hay un "modo IA" separado con guardarraíles más débiles — el enmascaramiento es el único lugar donde las rutas humana y de agente divergen, y diverge en la dirección más segura.

Preguntas frecuentes

¿Esto reemplaza mi cliente de base de datos existente?

Para consultas ad-hoc, navegación de esquemas y acceso a consultas para todo el equipo en bases de datos soportadas — sí. Si dependes de herramientas GUI avanzadas como autoría de diagramas ER o GUIs de administración del servidor específicas del proveedor, puedes mantener un cliente existente junto a FutrixData.

¿Qué bases de datos están soportadas?

Actualmente soportamos MySQL, PostgreSQL, MongoDB, Redis, Elasticsearch, ChromaDB, DynamoDB y Cloudflare D1.

¿Dónde residen las credenciales?

En el host de FutrixData — la máquina de escritorio para uso en solitario, o el servidor de la pasarela para despliegues de equipo / Enterprise. No se almacenan en archivos de configuración compartidos, en prompts de agente ni en el contexto de un LLM de terceros.

¿El log de auditoría detecta manipulaciones?

Dentro del alcance puramente local, sí. El log de auditoría local está encadenado por hash, y el comando integrado futrixdata-cli audit verify --json detecta registros modificados, eliminados, insertados o reordenados dentro de la cadena. La verificación local de la cadena de hashes detecta ediciones del registro existente; se necesita anclaje externo o almacenamiento inmutable para una protección más fuerte contra una reescritura completa del registro local. Consulta limitations.

¿Puedo ejecutar todo esto dentro de mi propia red?

Sí. FutrixData Enterprise Edition es una imagen Docker (Compose o Kubernetes) que ejecutas dentro de tu VPC. No salen credenciales de base de datos ni cuerpos de consultas de tu perímetro. Consulta pasarela autoalojada.

¿Cómo funciona el enmascaramiento de PII en los resultados?

La clasificación por defecto abarca de L1 (público) a L5 (credenciales / pago / datos personales de alta sensibilidad). En la ruta de resultados del agente (MCP / Skill / CLI), los campos L4 / L5 se sustituyen por hashes seudonímicos estables respaldados por secreto antes de que la fila salga de la pasarela, de modo que analistas y agentes ven hashes consistentes sin ver jamás los valores en bruto. La clave HMAC se deriva de un secreto local almacenado en el almacenamiento de secretos a nivel del sistema operativo. La Consola de escritorio preserva los valores en bruto para humanos autorizados por defecto. Los nombres de niveles, descripciones, campos de ejemplo y rango accesible por agente son personalizables — incluyendo definir niveles adicionales más allá del L1–L5 por defecto. Consulta enmascaramiento de PII y limitaciones del enmascaramiento.

¿FutrixData envía metadatos de esquema a proveedores de LLM?

Puede hacerlo, en las rutas de AI Chat / conocimiento de esquema / asistencia ER. Los metadatos de esquema pueden incluir nombres de tablas, nombres de columnas, tipos, índices y comentarios — una ruta de datos separada de las filas de resultados de consultas. El enmascaramiento de resultados no cubre automáticamente los metadatos de esquema. La aplicación de escritorio expone un conmutador por fuente de datos para la transmisión de esquema al LLM, y cada transmisión se registra como su propio evento de auditoría. Consulta trust para el mapa completo de rutas de datos.

Prueba FutrixData con tu propia base de datos

Aplicación de escritorio gratuita para macOS, Windows y Linux. Enterprise Edition autoalojada para despliegues en producción.