Estamos construyendo nuestra plataforma sobre una base de seguridad primero alineada con estándares reconocidos globalmente: SOC 2 Tipo II*, ISO 27001*y cumplimiento con RGPD y el panorama en evolución de gobernanza de IA de la UE . Desde el primer día, diseñamos, desarrollamos y operamos con los controles, documentación y gobernanza que requieren estos marcos—para que cuando ocurran auditorías formales, ya estemos operando a ese nivel.
* estamos desarrollando activamente nuestro ISMS y entorno de control para cumplir con estas certificaciones. La auditoría formal y la certificación seguirán una vez que se completen los períodos de evidencia requeridos.
SOC 2 Tipo II* – Criterios de Servicios de Confianza en la Práctica
Implementamos controles mapeados a los Criterios de Servicios de Confianza de AICPA—Seguridad (criterios comunes), Disponibilidad y Confidencialidad. La preparación Tipo II significa que nuestros controles no solo están diseñados sino operados durante un período sostenido con evidencia, registros y monitoreo continuo.
Controles Clave:
Acceso con privilegios mínimos con permisos basados en roles (RBAC)
Autenticación multifactor y aplicación de SSO
Segmentación de red y líneas base endurecidas
Ciclo de vida de desarrollo de software seguro (SSDLC)
Registro, monitoreo y alertas continuos
Respaldo, recuperación ante desastres y pruebas de disponibilidad
Debida diligencia de proveedores y gestión de riesgos
Beneficios para el Cliente:
Resiliencia operativa y tiempo de actividad confiable
Rastro de evidencia independiente listo para auditoría
Riesgo reducido de terceros y revisiones de seguridad más rápidas
Confianza en que los controles se monitorean con el tiempo
ISO 27001* – Sistema de Gestión de Seguridad de la Información (ISMS)
Nuestro ISMS define gobernanza, gestión de riesgos y controles en personas, procesos y tecnología. Mantenemos una Declaración de Aplicabilidad (SoA) viva, un registro de riesgos y políticas que guían las operaciones diarias y la mejora continua.
Pilares del ISMS:
Gestión de activos y clasificación de datos
Ingeniería segura y gestión de cambios
Gestión de vulnerabilidades y ritmo de parches
Seguridad de proveedores y revisión DPIA/SCC cuando corresponda
Continuidad del negocio y recuperación ante desastres
Concienciación sobre seguridad y formación basada en roles
Garantía Integrada:
Controles impulsados por políticas con propiedad y ritmo de revisión
Selección de controles basada en riesgos y planes de tratamiento
Auditorías internas y métricas para mejora continua
Documentación lista para auditoría y gestión de evidencia
RGPD y Gobernanza de IA de la UE – Privacidad e IA Responsable por Diseño
Integramos privacidad e IA responsable en nuestro ciclo de vida del producto. Nuestras prácticas de datos respaldan legalidad, equidad, transparencia, limitación de propósito, minimización de datos, precisión, limitación de almacenamiento, integridad y confidencialidad, y responsabilidad.
Programa de Privacidad:
Privacidad por Diseño y configuración predeterminada
Acuerdos de Procesamiento de Datos (DPAs) con subprocesadores
Flujos de trabajo de Derechos del Sujeto de Datos (acceso, eliminación, exportación)
Mecanismos de transferencia transfronteriza (p. ej., SCCs) cuando sea necesario
Registros de Actividades de Procesamiento (RoPA) y DPIAs para uso de alto riesgo
Prácticas de IA Responsable:
Documentación de modelos y conjuntos de datos (tarjetas, linaje, versionado)
Evaluación de sesgo, seguridad y robustez
Salvaguardas de humano en el bucle para decisiones sensibles
Procedimientos de reversión de incidentes y modelos
Controles de Seguridad de la Plataforma
Protección de Datos:
Cifrado en tránsito (TLS 1.2+) y en reposo
Gestión de claves con rotación y acceso restringido
Segregación de entornos (prod/stage/dev)
Gestión de secretos y principios de confianza cero
Operaciones y Monitoreo:
Registro centralizado con retención inmutable
Monitoreo de eventos de seguridad y triaje de alertas
Pruebas de penetración regulares y revisiones de código
Escaneo automatizado de dependencias y contenedores
Riesgo de Terceros y Subprocesadores
Mantenemos una lista verificada de subprocesadores y proveedores críticos. Los requisitos de seguridad y privacidad se aplican contractualmente, y revisamos certificaciones (p. ej., SOC 2, ISO 27001) y realizamos evaluaciones de riesgo antes de la incorporación y en intervalos regulares a partir de entonces.
Preguntas Frecuentes
¿Están certificados hoy?
Estamos operando según los estándares requeridos para SOC 2 Tipo II e ISO 27001 y estamos construyendo evidencia de auditoría ahora. La certificación formal se anunciará una vez que se completen las auditorías.
¿Podemos revisar sus políticas y evidencia?
Sí. Bajo NDA, podemos proporcionar documentos de políticas, mapeos de controles y evidencia seleccionada relevante para su revisión.
¿Firman Acuerdos de Procesamiento de Datos (DPAs)?
Absolutamente. Nuestro DPA estándar refleja las obligaciones del RGPD, incluyendo transparencia de subprocesadores y soporte para los Derechos del Sujeto de Datos.
¿Listo para Construir de Forma Segura?
Vea cómo nuestro enfoque de seguridad por diseño y controles listos para auditoría pueden ayudarle a cumplir sus propios requisitos de cumplimiento más rápido.
