La seguridad de sus datos es nuestra máxima prioridad
SPHIOR se construye con arquitectura security-first. Publicamos nuestras prácticas de seguridad, hoja de ruta de cumplimiento y lista de subprocesadores para que evalúe nuestra postura de confianza.
SOC 2
Tipo I en curso
TLS 1.2+
Todo el tráfico cifrado
AES-256
Cifrado en reposo
GDPR
DPA disponible
Cómo protegemos sus datos
Cifrado en tránsito
Todo el tráfico se cifra con TLS 1.2+. HTTP se redirige automáticamente a HTTPS.
Cifrado en reposo
Todos los datos en reposo se cifran con AES-256. Copias de seguridad y almacenamiento de objetos usan claves gestionadas por el proveedor.
Control de acceso (RLS)
La seguridad a nivel de fila garantiza el aislamiento de tenants. Endpoints de admin protegidos con MFA.
Protección de credenciales
El escaneo autenticado Enterprise usa cifrado AES-GCM 256-bit del lado del cliente con arquitectura de clave de dos capas HKDF.
Entorno de escaneo aislado
Los escáneres se ejecutan en contenedores efímeros (AWS Lambda + Fargate) destruidos tras cada escaneo.
Monitoreo continuo
Salud de infraestructura, estado del pipeline y tasas de error monitoreados 24/7 con alertas automáticas.
Nos auditamos con SPHIOR — cada mes
SPHIOR ejecuta los mismos escaneos automatizados en su propia infraestructura de producción. Cada mes, nuestro dominio (sphior.app) pasa una evaluación completa de vulnerabilidades externas y autenticada.
Esto significa que SPHIOR es auditor y auditado — comemos nuestra propia comida para perros. Hallazgos críticos se remedian en 30 días.
Respuesta estructurada con SLAs definidos
Detección y triaje
La monitorización automatizada detecta anomalías. Un ingeniero de guardia clasifica la gravedad.
Contención
Aislar sistemas afectados. Revocar credenciales comprometidas. Preservar evidencia forense.
Notificación al cliente
Los clientes afectados son notificados con el alcance del impacto y acciones recomendadas.
Remediación y post-mortem
Análisis de causa raíz, corrección permanente desplegada y revisión post-incidente publicada.
Períodos de retención claros con derecho a eliminación
| Tipo de dato | Retención | Propósito |
|---|---|---|
| Resultados de escaneo | 13 meses | Comparación interanual y análisis de tendencias |
| Informes PDF | 13 meses | Archivo de evidencia; cifrado AES-256 |
| Copias de seguridad | 7 días PITR | Recuperación puntual para desastres |
| Payloads efímeros | 0 — inmediato | Sin persistencia; destruidos tras ejecución |
| Datos al eliminar cuenta | 30 días | Período de gracia; luego eliminado |
| Logs de auditoría | 12 meses | Investigación y cumplimiento |
Proveedores terceros que procesan datos
Minimizamos el número de subprocesadores y evaluamos cuidadosamente la postura de seguridad de cada proveedor. Esta lista se actualiza cuando se añade o elimina un subprocesador.
| Proveedor | Propósito | Datos procesados | Ubicación |
|---|---|---|---|
| Database Provider | Almacenamiento de datos, autenticación y control de acceso | Datos de cuenta, metadatos de escaneo, registros con control de acceso | US |
| CDN & Edge Provider | Entrega de contenido, edge compute, almacenamiento cifrado, protección DDoS | Informes PDF (cifrado AES-256), artefactos de escaneo | Global |
| Application Host | Hosting de aplicación y procesamiento de solicitudes | Sin datos persistentes del cliente; procesamiento efímero | Global (Edge) |
| Cloud Infrastructure | Ejecución de escáner en contenedores aislados y efímeros | Payloads de escaneo efímeros; destruidos tras la ejecución | Asia-Pacific (Tokyo) |
| Payment Processor | Procesamiento de pagos, facturación de suscripciones | Solo tokens de pago; SPHIOR nunca almacena números de tarjeta | US / EU |
| AI Provider | Generación de informes IA (solo análisis de texto; sin PII del cliente) | Hallazgos de escaneo anonimizados → texto de informe estructurado | US |
| Email Delivery | Entrega de correo transaccional (informes mensuales, alertas) | Direcciones de correo, metadatos de entrega | US |
Política de divulgación responsable (VDP)
Damos la bienvenida a investigadores de seguridad para reportar vulnerabilidades. Nos comprometemos a confirmar en 3 días hábiles, evaluar en 10 días y resolver en 90 días.
Alcance
Incluido
sphior.app, app.sphior.app, API endpoints
SLA de respuesta
Confirmación < 3 días, Evaluación < 10 días
SLA de corrección
Crítico < 30 días, Alto < 60 días, Otros < 90 días
Puerto seguro
Los investigadores de buena fe no enfrentarán acciones legales
Genere su DPA automáticamente
Nuestro sistema genera automáticamente un DPA conforme con GDPR, CCPA y APPI. Complete el formulario y su PDF firmado estará listo en breve.
Última actualización: 2025-05-13
¿Preguntas sobre nuestras prácticas de seguridad? Contacte security@sphior.com
