# Seguridad y arquitectura MCP
### ¿Qué es el MCP?
El servidor Violet MCP (Model Context Protocol) permite que agentes de IA — como Claude, ChatGPT, Copilot o tus propias herramientas — accedan de forma segura a tus datos de Violet a través de una interfaz estandarizada. Actúa como una pasarela delgada, de solo lectura, que se sitúa **encima de** la API existente de Violet. El MCP no almacena ninguno de tus datos; cada solicitud pasa por la misma API que ya protege tu información hoy.
**El servidor MCP no aloja, ejecuta ni se comunica con ningún modelo de IA.** Es puramente una pasarela de acceso a datos. El modelo de IA vive completamente del lado del agente (gestionado por tu organización o por tu proveedor de modelos). La única parte de Violet que interactúa directamente con un modelo de IA es **Violet Chat**, que es una función independiente y opcional, y no forma parte del servidor MCP.
### Cómo funciona
```mermaid
flowchart LR
client["Tu agente de IA"]
edge["Conexión HTTPS segura"]
subgraph gov["AWS GovCloud — toda la infraestructura de Violet"]
direction TB
mcp["Pasarela MCP
traduce llamadas de herramientas de IA en
solicitudes a la API de Violet"]
api["API de Violet
autenticación, permisos,
y aislamiento de inquilinos"]
subgraph data["Almacenes de datos cifrados"]
direction LR
search["Índice de búsqueda
cifrado en reposo"]
database["Base de datos principal
cifrada en reposo"]
end
end
client -->|"Solicitud cifrada"| edge
edge --> mcp
mcp -->|"Reenvía solo solicitudes
autenticadas"| api
api -->|"Lee / escribe con
verificaciones completas de permisos"| data
```
**Punto clave:** el MCP es una capa de paso. No añade nuevo almacenamiento de datos, nuevas cuentas de usuario ni un nuevo modelo de permisos. Simplemente ofrece a las herramientas de IA una forma estructurada de llamar a la misma API de Violet que ya usa tu equipo, con todos los mismos controles de seguridad en vigor.
### Flujo de datos — paso a paso
```mermaid
sequenceDiagram
autonumber
actor User as Tu agente de IA
participant Edge as Punto final HTTPS seguro
box AWS GovCloud
participant MCP as Pasarela MCP
participant API as API de Violet
participant Data as Almacenes de datos cifrados
end
User->>Edge: Envía una solicitud autenticada
Edge->>MCP: Se enruta al MCP dentro de GovCloud
MCP->>API: Reenvía la solicitud a la API de Violet
API->>API: Verifica la identidad, los permisos,
y el aislamiento de inquilinos
API->>Data: Recupera solo los datos
que el usuario está autorizado a ver
Data-->>API: Devuelve los resultados
API-->>MCP: Envía la respuesta
MCP-->>Edge: Devuelve una respuesta formateada
Edge-->>User: Entrega el resultado al agente de IA
```
Cada paso de este flujo tiene lugar dentro de AWS GovCloud. Ningún dato del cliente sale del límite de GovCloud, excepto en la respuesta cifrada de vuelta al agente de IA solicitante.
> **Importante:** una vez que la respuesta llega al agente de IA, esos datos quedan fuera de la infraestructura de Violet. El agente puede reenviarlos al modelo de IA subyacente (alojado por el proveedor del modelo) o a otros destinos, según cómo esté configurado el agente. Violet no tiene control sobre los datos después de que salen de la respuesta del MCP. Las políticas de tu organización para el agente de IA y el proveedor del modelo rigen lo que sucede con los datos a partir de ese momento.
### Garantías de seguridad
#### Autenticación y autorización
| Control | Descripción |
| ------------------------------------------ | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Verificación de identidad** | Cada solicitud debe incluir una credencial válida (token OAuth o clave API). Las solicitudes no autenticadas se rechazan antes de llegar a cualquier dato. |
| **Aislamiento de inquilinos** | Los datos de cada cliente están estrictamente separados. Los límites de inquilino se aplican de forma redundante en la API y en las capas de datos subyacentes (índice de búsqueda y base de datos) |
| **Control de acceso basado en roles** | El mismo modelo de permisos que rige la aplicación web de Violet se aplica a las solicitudes MCP. Los usuarios solo ven lo que su rol permite. |
| **No hay credenciales almacenadas en MCP** | La pasarela MCP no almacena tokens ni contraseñas. Reenvía las credenciales a la API para su validación y no las almacena en caché. |
#### Protección de datos
| Control | Descripción |
| ----------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| **Cifrado en tránsito** | Todo el tráfico entre el agente de IA y Violet se cifra con TLS (HTTPS). La comunicación interna de servicio a servicio también permanece dentro de la red privada. |
| **Cifrado en reposo — base de datos principal** | Tus datos de origen se almacenan en Amazon RDS PostgreSQL dentro de AWS GovCloud. El almacenamiento está cifrado mediante claves gestionadas por AWS. |
| **Cifrado en reposo — índice de búsqueda** | El índice de búsqueda se ejecuta dentro del mismo entorno de GovCloud sobre volúmenes de almacenamiento en bloque cifrados. |
| **No hay datos de clientes en la capa MCP** | La pasarela MCP no tiene estado. No escribe, no almacena en caché ni registra los datos de tu dominio. Solo traduce solicitudes y reenvía respuestas. |
#### Residencia de la infraestructura
| Componente | Dónde se ejecuta |
| ----------------------------------- | -------------------------------------------------- |
| Pasarela MCP | AWS GovCloud |
| API de Violet | AWS GovCloud |
| Índice de búsqueda y almacenamiento | AWS GovCloud, volúmenes cifrados |
| Base de datos principal | Amazon RDS en AWS GovCloud, almacenamiento cifrado |
Todos los componentes de la aplicación y los datos residen completamente dentro de AWS GovCloud.
### Lo que el MCP **no** hace
* **No aloja ni interactúa con ningún modelo de IA.** El servidor MCP no contiene ningún modelo de IA ni envía tus datos a uno. El modelo de IA está completamente del lado del agente, gestionado por tu organización o por el proveedor del modelo.
* **No almacena tus datos.** Es una capa de traducción sin estado.
* **No crea una nueva superficie de ataque para tus datos.** Llama a los mismos endpoints de la API con las mismas verificaciones de permisos.
* **No elude los permisos.** Si un usuario no puede ver algo en la aplicación web de Violet, tampoco puede verlo a través del MCP.
* **No envía datos fuera de AWS GovCloud.** Todo el procesamiento y el almacenamiento ocurren dentro del límite de GovCloud. La única ruta saliente es la respuesta cifrada de vuelta al agente de IA solicitante. Una vez que esa respuesta llega al agente, los datos se rigen por las políticas propias del agente y del proveedor del modelo, no por Violet.
### Resumen
El Violet MCP permite a tu equipo usar agentes de IA para consultar y explorar datos de Violet sin comprometer la postura de seguridad que ya tienes. Es una pasarela delgada, autenticada y sin estado, construida sobre la API de Violet, con todos los datos permaneciendo cifrados en reposo dentro de AWS GovCloud.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.violetlabs.com/es/recursos/seguridad-y-cumplimiento/seguridad-y-arquitectura-mcp.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.