Seguridad y confianza

Todos los datos operativos residen en centros de datos de la UE (Hetzner FRA, OVH FRA). Los eventos de clic van a ClickHouse con una retención predeterminada de 365 días; metadatos en PostgreSQL. Nunca hacemos copias de seguridad en regiones no pertenecientes a la UE.

TLS 1.3 en cada redireccionamiento, cada llamada API, cada solicitud al panel de control. Los certificados de dominio personalizado son emitidos automáticamente por Caddy on-demand TLS. Los volúmenes de la base de datos están cifrados en reposo con LUKS.

Cuatro roles incorporados: propietario, administrador, editor, espectador. Roles personalizados con permisos ABAC granulares en Business. Cada mutación se registra en un registro de auditoría inmutable; los endpoints de webhook de tipo SIEM pueden enviarlo a Splunk, Datadog o tu stack.

SAML y OIDC respaldados por WorkOS, sincronización de directorio SCIM, listas de IP permitidas (CIDR) por espacio de trabajo, inicio de sesión con WebAuthn / passkey. Todo lo que te permite convertir los enlaces cortos de TI en una infraestructura gestionada.

GDPR DPA incluido. HIPAA BAA disponible en Business. Auditoría SOC 2 Tipo II en curso — haznos saber si tu equipo de adquisiciones necesita una carta de estado.

Página de estado 24h, objetivos de RPO de 30 minutos, RTO de 1 hora en la capa de redireccionamiento. Post-mortem en un plazo de 5 días hábiles para cualquier incidente en la capa de redireccionamiento superior a 5 minutos.