Centro de confianza

Postura de seguridad, hoja de ruta de cumplimiento y cómo protegemos sus datos.

Hoja de ruta de cumplimiento

GDPR (UE y Reino Unido) — cumple mediante Adenda de Procesamiento de Datos, SCC Módulo 2 para transferencias internacionales, notificación de brechas en 72 horas.
LGPD (Brasil) — cumplimiento por defecto; datos residentes en Brasil cuando se solicite.
SOC 2 Tipo II — controles implementados; auditoría formal prevista para el Q3 de 2026. Autoevaluación CAIQ v4 Disponible ahora (CSA Cloud Controls Matrix, 17 dominios).
HIPAA — BAA disponible bajo solicitud para cargas de trabajo de salud (plan Enterprise).
ISO 27001 — controles alineados; certificación prevista para 2027.

Arquitectura de seguridad

Defensas en profundidad a lo largo de la ruta de solicitud:

Edge — Proxy reverso Caddy sobre TLS 1.2+ con renovación automática de Let's Encrypt. HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin, Permissions-Policy restrictiva.
Gateway de autenticación — Todas las llamadas API validadas por auth-proxy:v3 contra claves Bearer (hash SHA-256 en Redis), límites de tasa de ventana deslizante por nivel, y control de acceso por producto antes de llegar a cualquier backend.
Nonce de CSP — Nonce criptográfico por solicitud en cada script en línea; 'unsafe-inline' no es funcional. Previene XSS incluso en contenido dinámico de usuario.
Webhooks del Marketplace — Firma JWT de Microsoft AD validada contra JWKS (RS256), audiencia y emisor verificados, con defensa anti-replay por operation_id y protecciones de idempotencia.
Aislamiento interno — Cada contenedor de backend expone servicios únicamente mediante X-Internal-Key reenviado por el auth-proxy. Backends ligados a 127.0.0.1 (loopback) por lo que son inaccesibles desde redes externas incluso si se produjo una configuración errónea.
Resistencia de contenedores — Todos los contenedores de producción tienen restart=unless-stopped + healthchecks. Los contenedores en mal estado se reinician automáticamente en ~90 segundos.

Tratamiento de datos

API payloads — procesado en memoria y descartado inmediatamente al responder. No registramos, almacenamos ni entrenamos con las cargas útiles de los clientes. Los registros contienen solo metadatos (timestamp, endpoint, estado, latencia, conteo de bytes).
Claves de API — almacenada como hashes SHA-256; la clave en texto plano solo existe en su máquina tras la emisión.
Redacción de PII — los registros de errores depuran correo electrónico, teléfono, IP y otros patrones comunes de PII antes de enviarse a nuestro rastreador de errores (Glitchtip, autoalojado).
Cifrado — TLS en tránsito (sin texto plano en ningún lugar); cifrado a nivel de volumen en reposo en la capa del host.

Subprocesadores

Actualizado 2026-04-28. Damos aviso con 30 días de anticipación antes de agregar nuevos subprocesadores.

Latitude.sh (Brasil/EE. UU.) — hosting bare-metal. SOC 2 Tipo II.
Microsoft Corporation (Facturación vía Azure Marketplace). DPA / SCC.
Stripe (US) - procesamiento de pagos directos. PCI-DSS Nivel 1.
Plausible (autoalojado) — analítica respetuosa con la privacidad. Ningún dato personal sale de nuestra infraestructura.

Respuesta a brechas

Si descubrimos una violación de datos personales conforme a lo definido por el artículo 4(12) del RGPD:

Contener y evaluar el alcance dentro de 1 hora.
Notificar a los Controladores afectados en un plazo de 72 horas mediante el correo electrónico registrado.
Proporciona naturaleza, categorías, conteos aproximados, consecuencias probables y pasos de mitigación.
Publicar un informe público de incidentes en la página de estado.

Divulgación de vulnerabilidades

Agradecemos la divulgación responsable. Envíe un correo a security@brainiall.com con detalles de prueba de concepto. Acusamos recibo en 1 día hábil, apuntamos a una ventana de divulgación coordinada de 90 días y damos crédito a los reportantes en nuestro CHANGELOG público (con autorización).

Fuera de alcance: limitación de tasa, ingeniería social, ataques físicos, denegación de servicio por carga.
Recompensa: No formalizado aún — ofrecemos reconocimiento + créditos Brainiall por reportes válidos.

Suscríbete a las actualizaciones de seguridad

Notificamos a los clientes y al público a través de Página de estado para avisos de seguridad y análisis post-mortem. Para clientes de nivel empresarial, también enviamos alertas de correo electrónico RFC-5322 firmadas al contacto de seguridad designado.

Documentación lista para compras

Para equipos de compras que realizan una evaluación inicial de riesgo de proveedores, los documentos a continuación cubren ~90% de los cuestionarios de seguridad comunes (SIG, basados en CAIQ, RFPs personalizados).

Política de privacidad
Condiciones de servicio — tope por defecto, ley aplicable BR/SP
Adenda de Procesamiento de Datos — GDPR Art. 28 / LGPD Art. 39
Autoevaluación CAIQ v4 — 17 dominios de seguridad, 50+ controles
MSA empresarial — límite negociable hasta USD 1M, opciones de ley aplicable Delaware/NY/Reino Unido/Suiza, SLA 99.9%
Referencias de clientes / programa piloto
Hoja de ruta de Verificación de Identidad (RFC) — verificación pública de documentos + ruta iBeta
Ficha del modelo de moderación de contenido — métricas por clase, sesgos, postura sobre CSAM
Contacto para seguridad / legal
Página de estado en vivo
security.txt (RFC 9116)