Volver al inicio

Resumen de Seguridad

Fecha de Vigencia: 1 de enero de 2026 Última Actualización: 1 de enero de 2026

Resumen

AICSUITE maneja información sensible — incluidos Números de Seguridad Social, datos bancarios y de nómina — por cuenta de empresas de servicios y su fuerza laboral. La seguridad es fundamental para el producto, no una función agregada después. Este documento describe cómo protegemos los datos en las capas de infraestructura, aplicación y operación.

Datos clave:

  • Cifrado AES-256 en reposo para identificadores sensibles (SSNs, datos bancarios);
  • Cifrado TLS 1.2+ en tránsito para todas las conexiones;
  • Seguridad a Nivel de Fila (RLS) aplicada en la capa de base de datos para aislamiento de inquilinos;
  • Control de acceso basado en roles de cinco niveles con valores predeterminados de mínimo privilegio;
  • Compromiso de notificación de brechas en 72 horas a los clientes;
  • SOC 2 Tipo II en búsqueda activa.

1. Infraestructura

AICSUITE opera sobre infraestructura en la nube gestionada por proveedores líderes con sus propios programas maduros de seguridad.

  • Alojamiento de aplicación — AWS Amplify en regiones de EE. UU., con las certificaciones subyacentes SOC 2, ISO 27001 y PCI DSS de AWS;
  • Base de datos, autenticación y almacenamiento — Supabase (PostgreSQL 15 gestionado) con cifrado en reposo y esquemas aislados por inquilino;
  • Inferencia de IA — AWS Bedrock para funciones de IA en la nube; los Datos del Cliente no se utilizan para entrenar modelos fundacionales de terceros;
  • CDN, DNS y protección contra DDoS — Cloudflare;
  • Pagos — Stripe (certificado PCI DSS Nivel 1); AICSUITE no almacena números completos de tarjeta.

El acceso de red entre componentes se restringe a rutas autenticadas y de mínimo privilegio sobre TLS.

2. Cifrado

2.1 Cifrado en Reposo

  • Los volúmenes de almacenamiento de base de datos están cifrados por el proveedor de nube;
  • Las columnas de identificadores sensibles (Números de Seguridad Social, números de cuenta bancaria) se cifran adicionalmente en la capa de aplicación con AES-256-GCM;
  • Las llaves de cifrado se almacenan en un servicio gestionado de gestión de llaves, separado de los datos cifrados;
  • Los respaldos se cifran con los mismos estándares que los datos en producción.

2.2 Cifrado en Tránsito

  • Todos los endpoints públicos requieren TLS 1.2 o superior;
  • HSTS está habilitado en nuestros orígenes web;
  • El tráfico interno entre servicios y las conexiones a la base de datos utilizan TLS.

3. Control de Acceso

3.1 Aislamiento de Inquilinos

Los datos de cada inquilino están aislados lógicamente por identificador de organización. El aislamiento se aplica mediante políticas de Seguridad a Nivel de Fila (RLS) de PostgreSQL, de modo que incluso las consultas directas a la base de datos no pueden devolver datos de otro inquilino.

3.2 Control de Acceso Basado en Roles

AICSUITE utiliza una jerarquía de cinco niveles:

  • Administrador — autoridad administrativa total sobre la organización (configuración de la organización, facturación);
  • Gerente — liderazgo operativo (nómina, reportes, gestión de usuarios);
  • Personal — operaciones del día a día;
  • Contratista — acceso restringido al portal de autoservicio;
  • Usuario — rol público / orientado al cliente sin acceso operativo.

Los permisos se aplican en la ruta, en las acciones del servidor y en la base de datos. Los roles se sincronizan desde PostgreSQL a los metadatos del JWT de la aplicación.

3.3 Principio de Mínimo Privilegio

El acceso del personal interno de AICSUITE a los sistemas de producción se otorga bajo el principio de mínimo privilegio, se audita y se revoca sin demora ante cambios de rol o terminación. El acceso administrativo a campos de SSN cifrados está restringido a un grupo reducido de personal y operaciones autorizadas.

4. Autenticación

  • Supabase Auth con hashing de contraseñas estándar de la industria;
  • Tokens de sesión basados en JWT con vidas cortas y refresco automático;
  • Autenticación Multifactor (MFA) disponible para todas las cuentas y altamente recomendada para Administradores y Gerentes;
  • Requisitos de complejidad de contraseña y protección contra relleno de credenciales.

5. Seguridad de Aplicación

  • SDLC seguro — revisión por pares, TypeScript con tipado y verificaciones automatizadas de lint/formato antes de integrar;
  • Validación de entradas en puntos de entrada del servidor; consultas parametrizadas para evitar inyección SQL;
  • Protecciones CSRF y XSS por valores predeterminados del framework y encabezados de política de seguridad de contenido;
  • Gestión de dependencias — escaneo automatizado de vulnerabilidades en librerías de terceros;
  • Gestión de secretos — credenciales y llaves de API almacenadas en gestores de secretos aislados por entorno, nunca en el control de código fuente.

6. Monitoreo y Registros

  • Registros centralizados de errores de aplicación, eventos de autenticación y acciones administrativas;
  • Registros de infraestructura del proveedor de nube (AWS CloudWatch, Cloudflare, Supabase);
  • Alertas ante comportamientos anómalos como autenticaciones fallidas repetidas, escalamientos de privilegios y patrones inusuales de acceso a datos;
  • Retención de registros de auditoría suficiente para soportar investigaciones de incidentes.

7. Respuesta a Incidentes

AICSUITE mantiene un proceso documentado de respuesta a incidentes:

  1. Detectar — mediante monitoreo, alertas, reportes de clientes o divulgaciones de investigadores de seguridad;
  2. Triar — clasificar la severidad y formar un equipo de respuesta;
  3. Contener — aislar sistemas afectados y limitar el radio de impacto;
  4. Erradicar — eliminar la causa raíz;
  5. Recuperar — restaurar servicios y verificar integridad;
  6. Notificar — notificar las brechas a los clientes afectados dentro de 72 horas de confirmar una Brecha de Datos Personales;
  7. Aprender — realizar una revisión posterior al incidente e implementar mejoras.

8. Continuidad del Negocio y Recuperación ante Desastres

  • Respaldos de base de datos automatizados y cifrados, tomados de forma regular por el proveedor gestionado;
  • Procedimientos de restauración de respaldos probados periódicamente;
  • Configuración como código (IaC) que permite reconstruir entornos de aplicación de manera oportuna;
  • Los objetivos de recuperación se revisan anualmente conforme a las necesidades del negocio.

9. Gestión de Proveedores y Subprocesadores

AICSUITE selecciona subprocesadores con programas de seguridad maduros, celebra acuerdos escritos que incluyen obligaciones de protección de datos no menos protectoras que las de nuestro DPA, y mantiene una lista actualizada de Subprocesadores. Los nuevos subprocesadores materiales se notifican a los clientes con la oportunidad de objetar.

10. Seguridad del Personal

  • Obligaciones de confidencialidad para todo el personal;
  • Capacitación en concientización sobre seguridad y privacidad para el personal con acceso a Datos del Cliente;
  • Revisiones de acceso ante cambios de rol y revocación oportuna al egresar;
  • Verificaciones de antecedentes para personal con acceso privilegiado, cuando lo permita la ley.

11. Hoja de Ruta de Cumplimiento

AICSUITE construye activamente hacia certificaciones formales:

  • SOC 2 Tipo II — atestación en búsqueda activa. Estamos operacionalizando los Criterios de Servicios de Confianza (Seguridad, Disponibilidad, Confidencialidad) y planeamos completar un reporte Tipo I seguido del período de observación Tipo II;
  • RGPD / UK GDPR — atendido mediante nuestro DPA, Cláusulas Contractuales Tipo y las prácticas de privacidad descritas en nuestro Aviso de Privacidad;
  • LFPDPPP (México) — atendido mediante nuestro Aviso de Privacidad y el procedimiento ARCO para titulares;
  • CCPA / CPRA y leyes estatales de EE. UU. — atendido mediante nuestro Aviso de Privacidad y un flujo de Solicitudes de Titulares;
  • HIPAA — actualmente fuera de alcance. Los Servicios no están diseñados para almacenar Información de Salud Protegida y no se ofrece Acuerdo de Asociado de Negocio (BAA);
  • PCI DSS — fuera del alcance de AICSUITE; los datos de tarjeta de pago son manejados por Stripe.

12. Divulgación Responsable / Contacto de Seguridad

Damos la bienvenida a reportes de investigadores de seguridad y clientes. Si cree haber encontrado una vulnerabilidad, escriba a security@aicsuite.com con una descripción detallada, pasos para reproducir y material de apoyo. Por favor:

  • Bríndenos una oportunidad razonable para investigar y remediar antes de divulgar públicamente;
  • Evite acciones que puedan interrumpir los Servicios, acceder a datos ajenos o violar la ley aplicable;
  • No realice ingeniería social contra personal o clientes de AICSUITE.

Confirmaremos la recepción de los reportes y colaboraremos de buena fe con los investigadores.

¿Tienes preguntas sobre este documento?

Escríbenos a legal@aicsuite.com

AICSUITE, LLC · Sociedad de responsabilidad limitada de Delaware