Arquitectura de seguridad
Lo que svdy hace realmente para proteger sus datos hoy. Sin reivindicaciones de certificaciones que no hemos obtenido. Cronología SOC 2 en directo en /trust/soc2; lista completa de subencargados en /trust/sub-processors.
Seguridad de la infraestructura
Controles concretos en producción:
• Despliegue AWS Multi-AZ en us-east-1 — RDS Postgres con replicación síncrona, ECS Fargate en varias zonas de disponibilidad, S3 con replicación cross-AZ. Objetivo arquitectónico: 99,95 % de uptime.
• Cifrado en tránsito: TLS 1.2+ en cada endpoint público (svdy.com / qutime.com / pureoa.com / id.svdy.com / api.svdy.com), con elegibilidad para HSTS preload y solo suites de cifrado modernas. El tráfico interno entre servicios también es solo TLS.
• Cifrado en reposo: AES-256 en RDS, S3 y volúmenes EBS; gestionado mediante claves AWS KMS con acceso auditado. Los secretos cifrados del cliente (tokens OAuth, URLs de webhook de integración) emplean Fernet (AES-128-CBC + HMAC-SHA256) sobre el cifrado de disco.
• Aislamiento de red: sin endpoints públicos de RDS / Redis — los servidores de aplicación llegan a las bases de datos a través de subredes privadas de VPC y reglas de Security Group; el acceso bastión es JIT, con registro de auditoría.
• Gestión de secretos: las credenciales de producción residen en AWS Secrets Manager, nunca en código fuente o ficheros de entorno. Runbooks de rotación documentados; la rotación de claves es un hito de la fase 2 SOC 2.
Protección de datos
Tratamiento de sus datos de extremo a extremo:
• Aislamiento multitenant: cada consulta a base de datos se acota por organization_id en la capa ORM; las pruebas de integración verifican que las consultas cross-tenant no devuelven filas. Sin acceso SQL en bruto para el código de aplicación.
• Registro de auditoría: cada mutación administrativa (crear / actualizar / eliminar colaborador, turno, fichaje, cambio de facturación) se registra con actor, objetivo, valores antes/después, dirección IP y marca temporal. Retención por nivel: 7 días (Free) / 1 año (Starter+) / 3 años (Pro+).
• Backups: snapshots automatizados de RDS diarios, retenidos 30 días; recuperación point-in-time a cualquier segundo dentro de la ventana de retención. Las restauraciones se prueban trimestralmente conforme al runbook de recuperación ante desastres.
• Flujo de derecho de supresión: las solicitudes RGPD / CCPA fluyen por /admin/identity/users — anonimizan PII de colaboradores (nombre, correo, teléfono, plantilla biométrica) preservando los registros agregados de fichaje que el responsable del tratamiento (su organización) necesita para cumplimiento laboral. Mecanismo completo en la Política de Privacidad §4.
• Datos biométricos (reconocimiento facial para fichar): se recopilan únicamente con consentimiento explícito del colaborador en el primer uso (art. 9.2.a) del RGPD). Las plantillas faciales se almacenan como hashes unidireccionales — la imagen original no se conserva. Los administradores de organización pueden desactivar el reconocimiento facial globalmente en Reglas de Fichaje; el consentimiento puede retirarse en cualquier momento desde el perfil del colaborador.
Seguridad operativa
Cómo operamos la seguridad como función:
• Práctica de ingeniería: cada cambio de código pasa por revisión de pull request con al menos un revisor que apruebe. Los cambios relevantes para seguridad (auth, cifrado, IAM) requieren un revisor designado de seguridad adicional.
• Gestión de dependencias: Python con Poetry y versiones bloqueadas; JavaScript con lockfile de Bun. Las dependencias vulnerables se exponen vía GitHub Dependabot y se atienden por orden de prioridad.
• Control de acceso: el acceso a producción es solo lectura por defecto; el acceso de escritura requiere ticket de cambio documentado. La baja de ingenieros revoca todos los accesos en 24 horas tras la salida.
• Respuesta a incidentes: un runbook interno cubre identificación → contención → erradicación → recuperación → revisión post-incidente. Los incidentes de Severidad 1 desencadenan un compromiso de notificación al cliente en 24 horas (Política de Privacidad §6).
• Revisión de seguridad de proveedores: cada nuevo subencargado (actualmente 5 listados en /trust/sub-processors) pasa por una revisión documentada — DPA en vigor, cuestionario de seguridad revisado, alcance de datos minimizado.
Certificaciones y atestaciones
Nos comprometemos con una hoja de ruta pública y fechada en lugar de afirmaciones retroactivas. Progreso en directo:
• SOC 2 Type II — META T1 2027. Aún no certificado. Vanta + A-LIGN seleccionados (decisión registrada el 24/05/2026). Cronología pública de 8 hitos en /trust/soc2; informe emitido en T3 2027.
• Arquitectura preparada para RGPD — auditoría de privacidad Wave 1-4 completada (minimización de datos, derecho de supresión, puertas de consentimiento, tratamiento biométrico bajo el art. 9). No certificada formalmente por un regulador (el RGPD no cuenta con organismo de certificación formal); proporcionamos nuestro DPA bajo solicitud en /trust/dpa.
• ISO 27001 — AÚN NO INICIADO. Puede seguir a SOC 2 en 2027 o 2028 según la demanda de prospectos enterprise UE.
• Específicas de sector (HIPAA / PCI-DSS / FedRAMP) — FUERA DE ALCANCE hoy. svdy se enfoca en gestión de personal SMB; PHI de salud / datos de tarjetas / cargas de trabajo del gobierno federal quedan fuera de nuestro caso de uso hasta que se incluyan explícitamente.
¿Necesita rellenar un cuestionario de seguridad, realizar una due diligence de proveedor o reportar una vulnerabilidad? Escriba a security@svdy.com — confirmamos recepción en 1 día hábil y respondemos en 3.
