Seguridad y Confianza

La seguridad de sus datos es nuestra máxima prioridad

SPHIOR se construye con arquitectura security-first. Publicamos nuestras prácticas de seguridad, hoja de ruta de cumplimiento y lista de subprocesadores para que evalúe nuestra postura de confianza.

SOC 2

Tipo I en curso

TLS 1.2+

Todo el tráfico cifrado

AES-256

Cifrado en reposo

GDPR

DPA disponible

Postura de seguridad

Cómo protegemos sus datos

Cifrado en tránsito

Todo el tráfico se cifra con TLS 1.2+. HTTP se redirige automáticamente a HTTPS.

Cifrado en reposo

Todos los datos en reposo se cifran con AES-256. Copias de seguridad y almacenamiento de objetos usan claves gestionadas por el proveedor.

Control de acceso (RLS)

La seguridad a nivel de fila garantiza el aislamiento de tenants. Endpoints de admin protegidos con MFA.

Protección de credenciales

El escaneo autenticado Enterprise usa cifrado AES-GCM 256-bit del lado del cliente con arquitectura de clave de dos capas HKDF.

Entorno de escaneo aislado

Los escáneres se ejecutan en contenedores efímeros (AWS Lambda + Fargate) destruidos tras cada escaneo.

Monitoreo continuo

Salud de infraestructura, estado del pipeline y tasas de error monitoreados 24/7 con alertas automáticas.

Autoauditoría

Nos auditamos con SPHIOR — cada mes

SPHIOR ejecuta los mismos escaneos automatizados en su propia infraestructura de producción. Cada mes, nuestro dominio (sphior.app) pasa una evaluación completa de vulnerabilidades externas y autenticada.

Esto significa que SPHIOR es auditor y auditado — comemos nuestra propia comida para perros. Hallazgos críticos se remedian en 30 días.

Objetivo mensualsphior.app
Alcance del escaneoEvaluación externa + autenticada
SLA crítico< 30 días
Formato de informeIgual que los informes de clientes
FrecuenciaMensual (automatizado)
Respuesta a incidentes

Respuesta estructurada con SLAs definidos

01

Detección y triaje

La monitorización automatizada detecta anomalías. Un ingeniero de guardia clasifica la gravedad.

SLA: < 1 hora
02

Contención

Aislar sistemas afectados. Revocar credenciales comprometidas. Preservar evidencia forense.

SLA: < 4 horas
03

Notificación al cliente

Los clientes afectados son notificados con el alcance del impacto y acciones recomendadas.

SLA: < 72 horas
04

Remediación y post-mortem

Análisis de causa raíz, corrección permanente desplegada y revisión post-incidente publicada.

SLA: < 30 días
Retención y eliminación de datos

Períodos de retención claros con derecho a eliminación

Tipo de datoRetención
Resultados de escaneo13 meses
Informes PDF13 meses
Copias de seguridad7 días PITR
Payloads efímeros0 — inmediato
Datos al eliminar cuenta30 días
Logs de auditoría12 meses
Subprocesadores

Proveedores terceros que procesan datos

Minimizamos el número de subprocesadores y evaluamos cuidadosamente la postura de seguridad de cada proveedor. Esta lista se actualiza cuando se añade o elimina un subprocesador.

ProveedorPropósitoUbicación
Database ProviderAlmacenamiento de datos, autenticación y control de accesoUS
CDN & Edge ProviderEntrega de contenido, edge compute, almacenamiento cifrado, protección DDoSGlobal
Application HostHosting de aplicación y procesamiento de solicitudesGlobal (Edge)
Cloud InfrastructureEjecución de escáner en contenedores aislados y efímerosAsia-Pacific (Tokyo)
Payment ProcessorProcesamiento de pagos, facturación de suscripcionesUS / EU
AI ProviderGeneración de informes IA (solo análisis de texto; sin PII del cliente)US
Email DeliveryEntrega de correo transaccional (informes mensuales, alertas)US
Divulgación de vulnerabilidades

Política de divulgación responsable (VDP)

Damos la bienvenida a investigadores de seguridad para reportar vulnerabilidades. Nos comprometemos a confirmar en 3 días hábiles, evaluar en 10 días y resolver en 90 días.

Alcance

Incluido

sphior.app, app.sphior.app, API endpoints

SLA de respuesta

Confirmación < 3 días, Evaluación < 10 días

SLA de corrección

Crítico < 30 días, Alto < 60 días, Otros < 90 días

Puerto seguro

Los investigadores de buena fe no enfrentarán acciones legales

Acuerdo de procesamiento

Genere su DPA automáticamente

Nuestro sistema genera automáticamente un DPA conforme con GDPR, CCPA y APPI. Complete el formulario y su PDF firmado estará listo en breve.

Última actualización: 2025-05-13

¿Preguntas sobre nuestras prácticas de seguridad? Contacte security@sphior.com