cifraHQ Enterprise
Seguridad

La seguridad no es un panel. Es la arquitectura.

Un tenant, una base de datos. Secretos en Azure Key Vault. Eventos de auditoría que ni un ingeniero con acceso directo puede modificar. La postura de seguridad está en el esquema, no en una política de Confluence.

Solicitar demo Ver cumplimiento
Tres pilares

Lo que sostiene la postura

Certificación

SOC 2 Type I en curso

Controles de seguridad auditados por un tercero independiente. Mapeo directo a <code>CC6.1</code>, <code>CC7.2</code>, <code>CC8.1</code>, <code>A1.2</code> y <code>P1/P3</code>. Evidencia generada por el sistema, no por capturas manuales.

Aislamiento

Base de datos por tenant

Cada cliente vive en su propia base. Sin filas compartidas, sin riesgo de fuga cross-tenant por un bug de <code>WHERE</code>. El offboarding del cliente elimina la base — no un soft-delete.

Cifrado

En reposo y en tránsito

AES-256 en reposo sobre la base; TLS 1.2+ en tránsito entre cliente, aplicación y SQL. Cadenas de conexión y credenciales rotadas desde <code>Key Vault</code> — nunca en código.

Dual audit trail

Por qué la historia no se puede reescribir

La evidencia de auditoría vive en dos registros paralelos administrados por el motor SQL, no por la aplicación. El principio es simple: un sistema que confía en el código de aplicación para bloquear escrituras no es defendible bajo SOC 2. Un ingeniero con acceso a la base podría alterar la historia. Nosotros cerramos esa puerta en el motor.

  • Temporal tables. Cada entidad de negocio mutable mantiene su propia tabla histórica en SQL Server. Cada UPDATE deja una fila con ValidFrom/ValidTo. Es transparente al código de aplicación.
  • AuditEvents append-only. Una tabla append-only para eventos de negocio discretos — "factura posteada", "período cerrado", "permiso otorgado". El principal app_rw tiene DENY UPDATE/DELETE. Solo audit_admin puede purgar.
  • Investigación auditada. Las consultas de soporte pasan por readonly_investigator, un principal separado. Cada consulta queda registrada en AuditEvents. Nadie mira la base "de pasada".
Certificación
SOC 2 Type I en curso
Secretos
Azure Key Vault
Cifrado
AES-256
Aislamiento
DB por tenant
Pen test
Anual
Background jobs
Hangfire en red aislada

Su equipo de seguridad tendrá preguntas.

Le respondemos su SIG Lite, CAIQ o cuestionario de vendor review en una reunión de 30 minutos, con evidencia concreta.

Agendar