Cuestionario de seguridad, ya respondido
Traducido para tu comodidad. La versión en inglés es la legalmente vinculante.
La mayoría de las revisiones de proveedores hacen las mismas preguntas. Aquí están, respondidas por adelantado en los dominios CAIQ-Lite y mapeadas a las áreas de VSA-Core — con honestidad: sí significa operado hoy y declarado en una página de confianza; parcial nombra la carencia; previsto tiene una fecha y nada más.
| Dominio | Pregunta | Respuesta | Detalle |
|---|---|---|---|
| A&ACompliance | ¿Tenéis certificaciones de seguridad independientes (SOC 2, ISO 27001)? | Previsto | Todavía no, y lo decimos sin rodeos. SOC 2 Type I tiene como objetivo el T3 de 2026 (la recogida de evidencias con Vanta empieza en el lanzamiento comercial), el Type II unos nueve meses después, e ISO 27001 en paralelo. Hasta entonces, esta página y la de seguridad describen los controles que realmente operamos. |
| AISApplication security | ¿La seguridad está integrada en la aplicación y su ciclo de vida? | Sí | Las entradas se validan con esquemas en la frontera, todo acceso a la base de datos es parametrizado, cabeceras de seguridad estrictas y CSP en cada superficie, y los avisos de dependencias altos o críticos hacen fallar la build. |
| BCRResilience | ¿Podéis recuperaros de un fallo de infraestructura? | Parcial | Arquitectura serverless sobre servicios gestionados multi-AZ, copias cifradas con recuperación a un punto en el tiempo y un runbook escrito de recuperación ante desastres; aún falta un plan de continuidad de negocio ejercitado formalmente. |
| CEKEncryption | ¿Los datos del cliente están cifrados en tránsito y en reposo? | Sí | TLS 1.3 mínimo en tránsito con HSTS; AES-256 en reposo en todos los almacenes con rotación de claves gestionada; los secretos viven en un servicio de secretos gestionado, nunca en el código. |
| DCSPhysical security | ¿Dónde se ejecuta producción y quién controla el acceso físico? | Sí | AWS eu-central-1 (Fráncfort), en una cuenta dedicada y totalmente aislada. La seguridad física se hereda de los centros de datos auditados de AWS. |
| DSPData protection | ¿Cómo se protegen los datos del cliente y se mantienen fuera del entrenamiento de modelos? | Sí | El tráfico de API con proveedores de modelos queda excluido del entrenamiento según los términos de API de cada proveedor, y se están finalizando acuerdos de Retención Cero de Datos con Anthropic y OpenAI; nunca entrenamos con datos de clientes; los embeddings de recuperación permanecen en la región de la UE; se ofrece un DPA con SCC y la gestión de DSAR está publicada. |
| GRCSecurity policy | ¿Mantenéis un programa de gobernanza de seguridad? | Parcial | Las políticas de seguridad se mantienen como reglas de ingeniería aplicadas, versionadas con el código y revisadas en cada cambio; un SGSI certificado (ISO 27001) figura en la hoja de ruta publicada. |
| HRSPersonnel | ¿Existen controles de seguridad de personal (verificación, alta y baja)? | Parcial | Syncanix está operada por su fundador hoy: la única persona con acceso a producción es el operador responsable. Las políticas formales de verificación y alta llegarán con las primeras contrataciones — y esta respuesta cambiará cuando ocurra. |
| IAMAccess control | ¿Cómo se controla el acceso a sistemas y datos? | Sí | Mínimo privilegio en todo: identidad con SSO y tokens verificados en cada petición, políticas por recurso escritas explícitamente, sin claves de acceso de larga duración y cambios de rol auditados. |
| IPYPortability | ¿Pueden los clientes exportar sus datos e irse? | Sí | El catálogo de capacidades es un artefacto portátil, los datos del cliente son exportables y cancelar nunca bloquea los datos. |
| IVSInfrastructure | ¿Cómo se asegura la infraestructura de producción? | Sí | Todo es infraestructura como código con diffs revisados antes de cada despliegue, una VPC aislada, sin recursos compartidos con ningún otro producto y un inventario totalmente etiquetado. |
| LOGLogging & monitoring | ¿Se monitorizan los sistemas y se protegen los logs? | Sí | Los logs estructurados llevan correlación de tenant y petición en cada línea, los secretos y la PII quedan excluidos por política de redacción, la retención está acotada y los eventos relevantes para auditoría disparan alarmas. |
| SEFIncident response | ¿Existe un proceso de respuesta a incidentes con notificación al cliente? | Sí | Un runbook documentado de respuesta a incidentes; los informes de divulgación se acusan en 24 horas y se clasifican en 72; las brechas confirmadas con impacto en clientes se notifican en las 24 horas siguientes a su confirmación. |
| STASupply chain | ¿Cómo gestionáis el riesgo de la cadena de suministro? | Sí | La lista de subencargados es pública con preaviso de 30 días, los avisos de dependencias bloquean la CI y cada biblioteca nueva pasa una lista de adopción documentada. |
| TVMVulnerability management | ¿Cómo se encuentran y corrigen las vulnerabilidades? | Parcial | El escaneo automático de dependencias bloquea cada build y hay un programa público de divulgación con salvaguarda; un pentest externo está previsto junto al SOC 2 — aún no se ha encargado ninguno. |
| UEMEndpoint management | ¿Están gestionados los dispositivos que tocan producción? | Parcial | El acceso a producción se limita a identidades de operador nominales bajo los controles de acceso anteriores; la gestión formal de endpoints (MDM) llegará con las primeras contrataciones. |
¿Necesitas las respuestas en tu propia hoja (CAIQ completo, VSA o tu formato interno)? Envíala y la rellenamos: admin@syncanix.com.
Última revisión: 2026-06-10. Las respuestas cambian cuando cambian los controles — nunca al revés.