Seguridad

Una seguridad que puede entregar a su auditor.

Spot Suite está diseñado para compradores regulados. Cada Environment está aislada, cifrada y registrada — con mapeos de controles que su equipo de cumplimiento puede revisar.

LGPD (BR) · Ley 1581 (CO) · ISO 27001-aligned

Mapeo de controles: ISO 27001 · DORA · RGPD

Las evidencias de auditoría y el paquete de mapeo de controles se comparten bajo NDA — no se reclaman certificaciones formales SOC 2 o ISO.

  • Mapeo de controles: ISO 27001 · DORA · RGPD

    Los controles de plataforma están mapeados a ISO 27001:2022, DORA y RGPD. Las evidencias de auditoría y el paquete de mapeo de controles se comparten bajo NDA — no se reclaman certificaciones formales SOC 2 o ISO.

  • Residencia de datos en la UE

    Los datos del cliente se procesan y almacenan en una jurisdicción de la UE (red Cloudflare). El cómputo y almacenamiento principales corren en Cloudflare Workers, D1 y R2; Microsoft Azure es un subencargado para servicios auxiliares en la región UE.

  • AES-256 y TLS 1.3

    Datos cifrados en reposo con AES-256. Todo el tráfico de cliente y API usa TLS 1.3. Claves gestionadas a través de la infraestructura de Cloudflare.

  • SSO OIDC con Entra y MFA

    Inicio de sesión con Microsoft Entra ID vía OIDC. MFA TOTP obligatoria en cada cuenta — sin contraseñas compartidas.

  • Aislamiento dedicado por cliente

    Cada Customer Environment obtiene su propio runtime de Cloudflare Worker, su propia base de datos D1 y su propio bucket de R2. Sus datos nunca se mezclan.

  • Evidencias de auditoría exportables

    Eventos de inicio de sesión, acciones administrativas y cambios de configuración registrados con actor, IP y marca temporal. Exporte el paquete de auditoría para revisiones de riesgo de proveedor.

Cómo se aísla una Customer Environment.

  1. Aprovisionar una pila dedicada

    Cuando se registra, Spot Suite aprovisiona una Customer Environment con su propio runtime Worker, base de datos D1 y bucket R2 antes de activar cualquier producto.

  2. Acotar la identidad a su inquilino

    OIDC de Entra ID vincula cada sesión a su directorio. Los tokens de API y las acciones de administrador están acotados al inquilino — sin rutas de acceso cruzadas.

  3. Registrar y exportar evidencias

    Los eventos de plataforma y producto se escriben en el registro de auditoría de su Environment. Descargue el paquete de evidencias para ISO 27001, DORA o pruebas de control internas.

Hable con nuestro equipo de seguridad

Solicite el paquete de mapeo de controles bajo NDA, o pregunte por nuestras condiciones BAA, IDTA o LGPD.