1. Modelo de responsabilidad compartida
Pylot Labs es responsable de la seguridad de la infraestructura, el código de la plataforma, la configuración por defecto y los procesos internos.
El concesionario es responsable de la gestión de sus usuarios, roles, credenciales, contenidos publicados y del uso adecuado de las integraciones que activa.
2. Infraestructura y hosting
Pylot se ejecuta sobre proveedores cloud líderes (Cloudflare, AWS, Google Cloud) con certificaciones ISO 27001 y SOC 2. Los datos se almacenan en regiones geográficas segregadas y con redundancia.
Utilizamos infraestructura como código, revisiones obligatorias de pull requests y despliegues automatizados con capacidad de rollback inmediato.
3. Cifrado
- En tránsito: todo el tráfico está cifrado con TLS 1.2+ usando cipher suites modernas.
- En reposo: las bases de datos y buckets de almacenamiento están cifrados con AES-256.
- Secretos: las credenciales, tokens y claves API se almacenan en un secret manager con rotación periódica.
4. Control de acceso
Aplicamos el principio de mínimo privilegio. El acceso del equipo interno a datos productivos requiere autenticación multifactor obligatoria, se registra íntegramente y se revisa de forma periódica.
En la plataforma soportamos roles granulares (Admin, Manager, Agente, Solo lectura) y SSO empresarial en planes superiores.
5. Monitoreo y detección
Monitoreamos 24/7 la disponibilidad, latencia y patrones anómalos. Los logs se agregan a un sistema centralizado, se conservan por al menos 90 días y se protegen contra alteración.
Ejecutamos análisis automático de dependencias vulnerables en cada build y aplicamos escaneos periódicos de seguridad sobre la infraestructura.
6. Desarrollo seguro
- Revisión obligatoria por pares de todo cambio productivo.
- Testing automatizado y análisis estático de seguridad (SAST) en el pipeline CI.
- Ambientes separados de desarrollo, staging y producción.
- Datos productivos no se copian a ambientes no productivos.
7. Backups y continuidad
Realizamos backups automáticos diarios con retención de al menos 30 días. Probamos periódicamente los procedimientos de restauración y contamos con un plan de continuidad de negocio con objetivos de RPO ≤ 24h y RTO ≤ 4h.
8. Subprocesadores
Trabajamos con un conjunto reducido de subprocesadores enterprise para infraestructura, comunicaciones y modelos de IA. Todos operan bajo contratos con obligaciones equivalentes de protección de datos.
La lista actualizada está disponible bajo pedido escribiendo a [email protected].
9. Seguridad en IA
Utilizamos proveedores de IA con contratos enterprise que no entrenan sus modelos con tus datos. Aplicamos guardrails, filtros de contenido y controles anti-jailbreak configurables por dealer.
Las conversaciones sensibles pueden auditarse y exportarse desde el panel de administración.
10. Respuesta ante incidentes
Contamos con un plan formal de respuesta ante incidentes. Ante un incidente confirmado que afecte datos de clientes, notificaremos sin demoras injustificadas, y en un plazo máximo de 72 horas cuando aplique, junto con la información necesaria para evaluar el impacto.
Podés reportar incidentes o vulnerabilidades escribiendo a [email protected] con el asunto "Security".
11. Programa de reporte responsable
Invitamos a la comunidad de investigadores a reportar de forma responsable posibles vulnerabilidades. Nos comprometemos a acusar recibo en un plazo máximo de 5 días hábiles y a trabajar de buena fe con quien reporta.
No emprenderemos acciones legales contra investigaciones realizadas de buena fe que respeten estos lineamientos.
12. Cumplimiento
Nuestros procesos están alineados con las buenas prácticas de la industria y en preparación para certificaciones formales como SOC 2 Type II. Este documento describe controles reales en producción, no constituye una certificación independiente.
13. Contacto de seguridad
Para cualquier consulta o reporte de seguridad escríbenos a [email protected].
¿Tienes preguntas sobre este documento? Escríbenos a [email protected] y respondemos en menos de 24 horas hábiles.