Trust & Security

How we protect
your operations

PrimeCore Intelligence is built around a single principle: every action is policy-enforced, every decision is logged, and nothing runs in production without explicit approval.

Last updated: March 18, 2026 · Questions: [email protected]
🛡️ Compliance Posture

PrimeCore Intelligence is designed with the following compliance frameworks as architectural requirements. Each framework governs specific deployment configurations — not all apply to all clients.

HIPAA
Architecture-aligned
PHI handling disabled by default. PrimeCore can serve as a HIPAA Business Associate with a signed BAA for healthcare deployments.
GDPR (EU)
Architecture-aligned
Data processing agreements available. EU client data configurable to remain within EU-region infrastructure. Standard Contractual Clauses in EU MSAs.
PCI-DSS
Architecture-aligned
No PAN or CVV is ever stored or logged. Call recordings with payment card data are automatically scrubbed at the infrastructure layer.
TCPA (US)
Enforced in outbound engine
DNC registry checks, consent verification, and time-window enforcement built into the outbound engine. Opt-out handling is automatic and immediate.
SOC 2 Type II
Roadmap — 2026
SOC 2 Type II audit is on our 2026 roadmap. Controls are designed to meet SOC 2 criteria. Contact us to discuss timeline for your procurement.
LGPD (Brazil)
Architecture-aligned
Lei 13.709/2018. Registered with ANPD. Brazilian data residency available on Enterprise plans.
🗂️ Data Handling
Data TypeRetentionStorageAccess
Call recordingsClient-configured (default 90 days)Tenant-isolatedClient admin only
Call transcripts4h live · 90 days archivedTenant-prefixed KVClient admin + agents
Pilot lead requests365 daysPrimeCore KV (public tenant)PrimeCore sales only
Policy decision receipts90 daysTenant-isolated KVFounder + authorized operators
PAN / CVVNever storedScrubbed at infrastructure layerN/A
PHI (health information)Disabled by defaultOnly if BAA signed + enabledHIPAA-governed chain of custody
🔒 Security Controls
Rate limiting — All public endpoints rate-limited per IP. Pilot form: 3/hour. Call events: 500/5 min.
HMAC webhook validation — All CCaaS webhooks validated with HMAC-SHA256. Invalid signatures rejected with 401 and logged.
Policy engine governance — Every mutation routes through the Policy Router. Privileged actions require explicit founder approval. No silent writes.
Bearer token authentication — All authenticated endpoints require Bearer tokens stored as encrypted secrets in Cloudflare — never in code.
Audit logging — Every event, policy decision, and mutation logged with timestamp, IP, tenant ID, and actor. 90-day retention. Append-only.
Zero PAN/CVV storage — Payment card data scrubbed at the Cloudflare Worker layer before reaching any storage. Paddle is the merchant of record.
Prompt injection protection — AI inference layer includes explicit guardrails. Every AI response is policy-checked before delivery.
🤖 AI Disclosure

PrimeCore Intelligence uses AI to handle phone calls on behalf of clients. Callers interacting with a PrimeCore-powered contact center are speaking with an AI system unless escalated to a human agent.

We never instruct our AI to claim it is human. Our systems are configured to acknowledge being an AI if directly and sincerely asked. This is a non-negotiable design requirement. Client disclosure obligations under applicable law remain the client's responsibility.

🔍 Vulnerability Disclosure
Responsible Disclosure Policy
Report vulnerabilities to [email protected]. We ask that you give us reasonable time to investigate before public disclosure and that you not access data that does not belong to you.

We acknowledge all reports within 2 business days. Our security.txt is at /.well-known/security.txt.
🌐 Infrastructure

PrimeCore runs on Cloudflare's global edge network — Workers, Pages, and KV across 300+ data centers. DDoS protection is built in at the infrastructure layer. Cloudflare holds its own SOC 2 Type II certification.

Confianza y Seguridad

Cómo protegemos
sus operaciones

PrimeCore Intelligence se basa en un único principio: cada acción tiene política, cada decisión se registra y nada se ejecuta en producción sin aprobación explícita.

Última actualización: 18 de marzo, 2026 · Preguntas: [email protected]
🛡️ Postura de Cumplimiento

PrimeCore Intelligence está diseñado con los siguientes marcos de cumplimiento como requisitos arquitectónicos. Cada marco rige configuraciones de despliegue específicas — no todos aplican a todos los clientes.

HIPAA
Arquitectura alineada
El manejo de PHI está desactivado por defecto. PrimeCore puede actuar como Asociado de Negocios HIPAA con un BAA firmado para despliegues de salud.
GDPR (UE)
Arquitectura alineada
Acuerdos de procesamiento de datos disponibles. Datos de clientes de la UE configurables para permanecer en infraestructura de región UE. Cláusulas Contractuales Estándar en MSAs de la UE.
PCI-DSS
Arquitectura alineada
Ningún PAN o CVV se almacena o registra jamás. Las grabaciones de llamadas con datos de tarjetas de pago se depuran automáticamente en la capa de infraestructura.
TCPA (EE.UU.)
Aplicado en motor outbound
Verificaciones de registro DNC, confirmación de consentimiento y aplicación de ventanas horarias integradas en el motor outbound.
SOC 2 Tipo II
Hoja de ruta — 2026
La auditoría SOC 2 Tipo II está en nuestra hoja de ruta para 2026. Los controles están diseñados para cumplir con los criterios SOC 2.
LGPD (Brasil)
Arquitectura alineada
Lei 13.709/2018. Registrado ante ANPD. Residencia de datos en Brasil disponible en planes Enterprise.
🗂️ Manejo de Datos
Tipo de DatoRetenciónAlmacenamientoAcceso
Grabaciones de llamadasConfigurado por cliente (90 días por defecto)Aislado por tenantSolo admin del cliente
Transcripciones4h en vivo · 90 días archivadosKV con prefijo de tenantAdmin + agentes
Solicitudes de piloto365 díasKV PrimeCore (tenant público)Solo equipo de ventas
Registros de decisiones90 díasKV aislado por tenantFundador + operadores autorizados
PAN / CVVNunca almacenadoDepurado en capa de infraestructuraN/A
PHI (información de salud)Desactivado por defectoSolo si BAA firmado + habilitadoCadena de custodia HIPAA
🔒 Controles de Seguridad
Limitación de tasa — Todos los endpoints públicos limitados por IP. Formulario piloto: 3/hora. Eventos de llamadas: 500/5 min.
Validación HMAC de webhooks — Todos los webhooks CCaaS validados con HMAC-SHA256. Firmas inválidas rechazadas con 401 y registradas.
Gobernanza por motor de políticas — Cada mutación pasa por el enrutador de políticas. Las acciones privilegiadas requieren aprobación explícita del fundador.
Autenticación Bearer token — Todos los endpoints autenticados requieren tokens Bearer almacenados como secretos cifrados en Cloudflare — nunca en código.
Registro de auditoría — Cada evento, decisión de política y mutación registrada con timestamp, IP, ID de tenant y actor. Retención 90 días. Solo adición.
Cero almacenamiento PAN/CVV — Datos de tarjetas de pago depurados en la capa del Worker de Cloudflare antes de llegar a cualquier almacenamiento.
Protección contra inyección de prompts — La capa de inferencia de IA incluye salvaguardas explícitas. Cada respuesta de IA se verifica contra políticas antes de entregarse.
🤖 Divulgación de IA

PrimeCore Intelligence utiliza IA para manejar llamadas telefónicas en nombre de los clientes. Las personas que interactúan con un centro de contacto con tecnología PrimeCore están hablando con un sistema de IA, a menos que se escale a un agente humano.

Nunca instruimos a nuestra IA a afirmar que es humana. Nuestros sistemas están configurados para reconocer ser una IA si se les pregunta directa y sinceramente. Este es un requisito de diseño no negociable.

🔍 Divulgación de Vulnerabilidades
Política de Divulgación Responsable
Reporte vulnerabilidades a [email protected]. Le pedimos que nos dé tiempo razonable para investigar antes de la divulgación pública y que no acceda a datos que no le pertenecen.

Confirmamos todos los informes dentro de 2 días hábiles. Nuestro security.txt está en /.well-known/security.txt.
🌐 Infraestructura

PrimeCore opera en la red edge global de Cloudflare — Workers, Pages y KV en más de 300 centros de datos. La protección DDoS está integrada en la capa de infraestructura.

Confiança e Segurança

Como protegemos
suas operações

O PrimeCore Intelligence é construído em torno de um único princípio: toda ação tem política, toda decisão é registrada e nada executa em produção sem aprovação explícita.

Última atualização: 18 de março de 2026 · Dúvidas: [email protected]
🛡️ Postura de Conformidade

O PrimeCore Intelligence é projetado com os seguintes frameworks de conformidade como requisitos arquiteturais. Cada framework governa configurações de implantação específicas — nem todos se aplicam a todos os clientes.

HIPAA
Arquitetura alinhada
Manuseio de PHI desativado por padrão. PrimeCore pode atuar como Associado de Negócios HIPAA com um BAA assinado para implantações de saúde.
GDPR (UE)
Arquitetura alinhada
Acordos de processamento de dados disponíveis. Dados de clientes da UE configuráveis para permanecer em infraestrutura da região UE.
PCI-DSS
Arquitetura alinhada
Nenhum PAN ou CVV é armazenado ou registrado. Gravações de chamadas com dados de cartão são automaticamente eliminadas na camada de infraestrutura.
TCPA (EUA)
Aplicado no motor outbound
Verificações de registro DNC, confirmação de consentimento e aplicação de janelas de horário integradas ao motor outbound.
SOC 2 Tipo II
Roadmap — 2026
Auditoria SOC 2 Tipo II no roadmap de 2026. Os controles são projetados para atender aos critérios SOC 2.
LGPD (Brasil)
Arquitetura alinhada
Lei 13.709/2018. Registrado na ANPD. Residência de dados no Brasil disponível nos planos Enterprise.
🗂️ Tratamento de Dados
Tipo de DadoRetençãoArmazenamentoAcesso
Gravações de chamadasConfigurado pelo cliente (padrão 90 dias)Isolado por tenantSomente admin do cliente
Transcrições4h ao vivo · 90 dias arquivadosKV com prefixo de tenantAdmin + agentes
Solicitações de piloto365 diasKV PrimeCore (tenant público)Somente equipe de vendas
PAN / CVVNunca armazenadoEliminado na camada de infraestruturaN/A
PHI (informação de saúde)Desativado por padrãoSomente se BAA assinado + habilitadoCadeia de custódia HIPAA
🔒 Controles de Segurança
Limitação de taxa — Todos os endpoints públicos limitados por IP. Formulário piloto: 3/hora. Eventos de chamadas: 500/5 min.
Validação HMAC de webhooks — Todos os webhooks CCaaS validados com HMAC-SHA256. Assinaturas inválidas rejeitadas com 401 e registradas.
Governança por motor de políticas — Toda mutação passa pelo roteador de políticas. Ações privilegiadas requerem aprovação explícita do fundador.
Autenticação Bearer token — Todos os endpoints autenticados requerem tokens Bearer armazenados como segredos criptografados no Cloudflare — nunca em código.
Registro de auditoria — Todo evento, decisão de política e mutação registrada com timestamp, IP, ID de tenant e ator. Retenção 90 dias. Somente adição.
Zero armazenamento PAN/CVV — Dados de cartão eliminados na camada do Worker do Cloudflare antes de atingir qualquer armazenamento.
Proteção contra injeção de prompts — A camada de inferência de IA inclui proteções explícitas. Toda resposta de IA é verificada contra políticas antes de ser entregue.
🤖 Divulgação sobre IA

O PrimeCore Intelligence usa IA para lidar com chamadas telefônicas em nome dos clientes. Quem interage com um contact center alimentado pelo PrimeCore está falando com um sistema de IA, a menos que seja escalado para um agente humano.

Nunca instruímos nossa IA a afirmar que é humana. Nossos sistemas são configurados para reconhecer ser uma IA se perguntados direta e sinceramente. Este é um requisito de design inegociável.

🔍 Divulgação de Vulnerabilidades
Política de Divulgação Responsável
Reporte vulnerabilidades a [email protected]. Pedimos que nos dê tempo razoável para investigar antes da divulgação pública.

Confirmamos todos os relatórios em 2 dias úteis. Nosso security.txt está em /.well-known/security.txt.
🌐 Infraestrutura

O PrimeCore opera na rede edge global da Cloudflare — Workers, Pages e KV em mais de 300 data centers. A proteção DDoS está integrada na camada de infraestrutura.