Saltar al contenido principal
SVDY Logo

Programa de cumplimiento

Dónde se cruza el marco regulatorio con un SaaS de gestión de personal, y cómo lo estamos abordando. Estado real del programa: lo que ya está disponible, lo que está en curso y lo que de forma deliberada aún no figura en la hoja de ruta.

Última actualización:24 de mayo de 2026

Marco de cumplimiento

svdy opera un programa de cumplimiento continuo en lugar de una checklist puntual. En concreto:

• Privacidad por diseño — toda nueva funcionalidad supera una evaluación de impacto en privacidad antes del merge si toca PII. El registro de la auditoría de privacidad Wave 1-4 vive en nuestro tracker interno; los resultados visibles son el flujo de consentimiento de reconocimiento facial del art. 9 del RGPD, el mecanismo de derecho de supresión y la ventana de eliminación de datos del cliente de 30 días tras la cancelación de la suscripción.

• Controles documentados — políticas de seguridad (control de acceso, gestión de cambios, gestión de proveedores, respuesta a incidentes) versionadas y revisadas anualmente.

• Gestión de proveedores — todo subencargado supera una revisión de admisión documentada antes de obtener acceso a datos de cliente. Los 5 subencargados actuales se publican en /trust/sub-processors; las actualizaciones provocan una notificación al cliente con 30 días de antelación.

• Monitorización continua — antes de SOC 2 se realiza internamente (logs de auditoría, revisiones de acceso, tickets de cambio). Una vez Vanta esté integrado (T3-T4 2026), la recopilación de evidencia será continua y auditable externamente.

• Radar regulatorio — seguimos la legislación que afecta a nuestra base de clientes (leyes de privacidad estatales de EE. UU., NIS2 UE, PIPL China, LGPD Brasil) y ajustamos nuestro DPA + funcionalidades de producto a medida que el alcance se amplía.

Estándares que seguimos

Nos alineamos con estos marcos estándar de la industria. Seguir ≠ estar certificado — consulte /trust/soc2 para saber qué se audita formalmente y cuándo.

• NIST Cybersecurity Framework (CSF) 2.0: Controles internos mapeados a Identify / Protect / Detect / Respond / Recover. Autoevaluado; base para la auditoría SOC 2 Type II (a partir del T1 2027).

• OWASP Top 10 (aplicación web): La práctica de ingeniería cubre el OWASP Top 10 (2021): prevención de inyección mediante consultas parametrizadas, control de acceso roto mediante consultas acotadas por tenant, etc. Herramientas SAST en pre-merge; SCA mediante Dependabot.

• CIS AWS Foundations Benchmark: Configuración de AWS alineada con los controles CIS Foundations v2.0 — IAM con privilegio mínimo, MFA en root, EBS cifrado, S3 block public access, logs de auditoría a cuenta centralizada. Autoatestado hoy; la auditoría SOC 2 lo validará en T2 2027.

• ISO/IEC 27001 — direccional, no certificada: Nuestro conjunto de controles toma prestados los controles del Anexo A de ISO 27001. La certificación formal es una fase 2 (post-SOC 2 Type II, probablemente 2027-2028) — solo iniciada si los clientes enterprise UE la solicitan.

Regulaciones regionales

Dónde los datos de cliente svdy tocan jurisdicciones reguladas y nuestra postura en cada una:

• Unión Europea y Reino Unido: RGPD (UE 2016/679), UK GDPR + Data Protection Act 2018, Directiva ePrivacy (cookies)

Clientes UE + UK cubiertos por nuestras Cláusulas Contractuales Tipo (versión 2021) más el UK Addendum, incluidos en el DPA en /trust/dpa. La Política de Privacidad está alineada con los arts. 13/14 del RGPD. Mecanismo de derechos del interesado vía legal@svdy.com, respuesta en 30 días. Residencia de datos: us-east-1 hoy; disponibilidad de regiones UE / APAC en hoja de ruta nivel Enterprise (2027).

• Estados Unidos: CCPA / CPRA (California), VCDPA (Virginia), CPA (Colorado), CTDPA (Connecticut), UCPA (Utah)

Respetamos Do-Not-Sell, Right-to-Know y Right-to-Delete bajo todas las leyes de privacidad estatales aplicables. La Política de Privacidad incluye las divulgaciones de categorías exigidas por la CCPA y los plazos de retención. NO vendemos información personal en el sentido del §1798.140(t).

• Brasil y APAC: LGPD (Brasil), Singapore PDPA, Australia Privacy Act

Adhesión en el alcance donde existe base de clientes. Los requisitos de localización de datos del PIPL chino no se cumplen actualmente (sin residencia de datos en China continental); los clientes con personal en China continental deberán mantener esos datos offshore en nuestra región us-east-1 existente hasta el despliegue de regiones LATAM / APAC (post-2027).

Auditorías y atestaciones

Lo que realmente se audita hoy, lo que viene, y lo que deliberadamente no perseguimos:

• SOC 2 Type II — EN CURSO: Lanzamiento de auditoría previsto T1 2027 (6 meses de observación), informe emitido T3 2027. Vanta + A-LIGN seleccionados. Cronología pública en /trust/soc2.

• RGPD — autoevaluado: El RGPD no contempla certificación formal de cumplimiento (los reguladores no emiten certificados). Mantenemos una arquitectura preparada para RGPD verificada mediante nuestra auditoría interna de privacidad Wave 1-4. Nuestro DPA está disponible bajo solicitud en /trust/dpa para clientes que necesiten un acuerdo escrito de encargado del tratamiento.

• ISO 27001 — fase 2: Aún no iniciada. Prevista post-SOC 2 (2027-2028) si la demanda enterprise UE justifica el coste de auditoría. Actualización en /trust/soc2 cuando se inicie.

• HIPAA / PCI-DSS / FedRAMP — fuera de alcance: svdy actualmente no es business associate HIPAA, no está en alcance PCI-DSS (Stripe gestiona los datos de tarjetas en su plataforma certificada) y no persigue FedRAMP. Los clientes federales / de industria regulada deben contactar con support@svdy.com antes de registrarse para discutir si podemos cumplir su necesidad de cumplimiento específica.

¿Necesita nuestra documentación de cumplimiento, atestaciones regulatorias regionales o la cronología SOC 2? Escriba a legal@svdy.com — vea el progreso SOC 2 en /trust/soc2.