ACEM systems
InicioAppSolucionesIndustriasInsightsROIFAQNosotrosArquitecturaConsultoríaContactoLogin

Seguridad

Seis pilares que tienen que cerrar antes de ir a producción.

No tratamos la seguridad como capa final. Está diseñada desde el primer nodo del grafo: cada agente nace con controles, cada decisión deja rastro y cada acción irreversible pasa por un humano.

Pilar

Protección de datos

Los datos del cliente se cifran en reposo y en tránsito, se minimizan antes de entrar al prompt y se aíslan por tenant. Nunca se usan para entrenar modelos.

  • Cifrado AES-256 en reposo en PostgreSQL gestionado
  • TLS 1.3 en todas las conexiones externas e internas
  • Enmascaramiento de PII antes de que llegue al modelo
  • Opción de operar en Azure OpenAI con tenant privado
  • Retención configurable de logs (30 a 365 días)

Pilar

Control de acceso

Identity-aware en todas las capas. SSO por SAML o OIDC, roles granulares, revocación inmediata, 2FA obligatorio para administradores.

  • SSO con Azure AD, Okta, Google Workspace
  • Roles: Admin, Operador, Auditor, Solo lectura
  • 2FA obligatorio para roles administrativos
  • Revocación en menos de 5 minutos tras baja
  • Session replay limitado a usuarios con permiso explícito

Pilar

Observabilidad y auditoría

Cada decisión del agente queda registrada con prompt, modelo, herramientas y resultado. El cliente puede exportar logs en formato estándar en cualquier momento.

  • Traza completa por ejecución con Sentry + logs estructurados
  • Exportación a SIEM (Splunk, Sentinel, Datadog)
  • Retención mínima de 90 días (ampliable)
  • Firma digital de logs para clientes regulados
  • Reporting mensual con KPIs y postmortems

Pilar

Control operativo

Gates humanos en decisiones irreversibles, kill-switch global, rollback por nodo y límites operativos configurables para contener desviaciones.

  • Gates HITL en nodos clasificados de alto riesgo
  • Kill-switch accesible desde la app supervisora
  • Rollback con acciones compensatorias por tipo de operación
  • Límites operativos por agente (volumen, monto, frecuencia)
  • Circuit breakers automáticos ante anomalías

Pilar

Resiliencia y disponibilidad

Infraestructura redundante, backups automáticos, plan de continuidad y SLA comprometido en contrato.

  • SLA 99.5% estándar, 99.9% en tier Enterprise
  • Backups diarios cifrados con retención de 30 días
  • Plan de recuperación ante desastres (RTO 4h / RPO 1h)
  • Monitoreo 24×7 con alertas automatizadas
  • Status page pública con incidencias históricas

Pilar

Gestión de proveedores

Toda la cadena de suministro de IA está documentada: quién provee el modelo, dónde corre, qué datos toca y qué política aplica.

  • Registro de modelos y versiones usadas por agente
  • Cláusulas DPA con todos los subencargados
  • Monitoreo de cambios contractuales de proveedores
  • Plan de portabilidad a proveedor alternativo
  • Revisión de seguridad anual de la cadena

Respuesta a incidentes

Qué pasa cuando algo sale mal.

Preferimos decirlo antes que después: los incidentes pasan. Lo importante es tener un runbook probado, SLAs claros y un postmortem que deje el sistema mejor de lo que estaba.

  1. 1. Detección

    < 5 min

    Alertas automáticas, monitoreo continuo y reporte del cliente convergen en un canal único.

  2. 2. Triaje

    < 15 min (P0)

    Clasificación de severidad (P0-P3) y activación del runbook correspondiente.

  3. 3. Contención

    < 30 min (P0)

    Kill-switch, rollback selectivo, o aislamiento del agente afectado mientras se investiga.

  4. 4. Mitigación

    < 4 h (P0)

    Parche temporal, reversión a versión estable o desvío a ruta manual si hace falta.

  5. 5. Resolución

    < 48 h (P0)

    Fix permanente validado, re-despliegue progresivo y monitoreo intensivo 48h.

  6. 6. Postmortem

    5 días hábiles

    Análisis de causa raíz documentado, lecciones y cambios de sistema con propietario y fecha.

¿Algo que evaluar con tu CISO?

Firmamos NDAs y DPA, entregamos questionnaires de seguridad estándar y podemos realizar sesiones técnicas con tu equipo antes de cualquier piloto.

Ver complianceAgendar sesión técnica