Controles tecnicos y operativos vigentes en la plataforma
Postura de cumplimiento
Operamos con controles tecnicos alineados a SOC 2 (Trust Services Criteria) y GDPR. No contamos aun con sello formal de auditora externa; este documento detalla los controles auto-evaluados y verificables. Para clientes que requieran un reporte SOC 2 Type I/II podemos coordinar una auditoria dedicada (proceso aparte).
Cada cliente opera en su propia base de datos PostgreSQL dedicada, con su propio directorio de aplicacion, subdominio y puerto. Nunca compartimos tablas entre clientes.
Implementacion: utils/clientDbPool.js resuelve el pool por cliente; la BD central mparadas contiene solo metadata cifrada y nunca data operativa de clientes.
superadmin, cliente, agente_soporte.authenticate + authorize(role) obligatorio en endpoints sensibles.Toda invocacion a un agente IA pasa por el pipeline invokeAgent() con 6 controles:
Los prompts del sistema NUNCA contienen datos reales de otros clientes. Cada agente recibe clientIdy consulta exclusivamente la BD de ese cliente via getClientPool(clientId).
services/backup.js).deployment_events con sha del snapshot.X-Mparadas-Signature; el receptor puede verificar autenticidad.Para detalles completos del tratamiento ver Politica de Privacidad.
Notificacion de brecha
Compromiso de notificar a clientes afectados dentro de las 72 horas de confirmada la brecha (alineado con GDPR Art. 33).
Triage
Clasificacion por impacto (P0 critico → P3 bajo) y mitigacion inicial en menos de 4h para P0/P1.
Post-mortem
Documento publico (sanitizado) tras cada incidente P0/P1 con causa raiz, impacto y acciones correctivas.
Si encontraste una posible vulnerabilidad, repórtala de forma responsable a:
soporte@mparadas.comCompromiso: acuse de recibo en 48h, evaluacion en 7 dias, fix en ventana acordada segun severidad. No tomamos accion legal contra investigadores que sigan disclosure responsable.
Preguntas o requisitos especificos de cumplimiento? Escribenos