Cargando…
Cargando…
Cumplimiento / Compliance
simiriki opera sobre Microsoft Azure y Microsoft 365, con identidad en Microsoft Entra ID y datos en Azure PostgreSQL de región única (East US 2). Esta página declara — sin marketing — qué marcos regulatorios perseguimos, qué controles existen hoy con evidencia, y qué está comprometido o planeado.
No reclamamos certificaciones que no poseemos. Cada afirmación lleva un marcador de estado explícito: en-evidencia, comprometido-en-auditoría o planeado. Cualquier proveedor que diga "somos SOC 2" sin un reporte Type II está haciendo una afirmación sin verificar; nosotros no.
Priorizamos por mercado: P0 cubre el sector privado mexicano + empresa LATAM + sede en EE. UU.; P1 amplía a banco de seguridad de nube y exigencias de privacidad europea; P2 son verticales reguladas (salud, banca) activadas por contrato.
| Marco | Prioridad | Estado | Descripción |
|---|---|---|---|
| LFPDPPP (México) | P0 | En evidencia | Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Obligatoria para todo dato de cliente mexicano. Aviso de privacidad publicado; derechos ARCO atendidos en ≤ 10 días hábiles (Art. 32). |
| SOC 2 Type II | P0 | Comprometido en auditoría | Atestación AICPA de criterios de servicios de confianza. Período de observación de ~12 meses; se activa con el primer contrato empresarial. No reclamamos un reporte que aún no existe. |
| ISO/IEC 27001:2022 | P0 | Comprometido en auditoría | Estándar internacional de gestión de seguridad de la información. Controles mapeados vía Microsoft Compliance Manager; auditoría externa Stage 1/Stage 2 activada por contrato empresarial. |
| NMX-I-27001-NYCE (México) | P0 | Comprometido en auditoría | Norma mexicana equivalente a ISO/IEC 27001, emitida por NYCE. Relevante para procurement gubernamental y empresarial mexicano que exige la norma nacional. Mismos controles que ISO 27001; certificación local activada por contrato. |
| Microsoft Cloud Security Benchmark | P1 | En evidencia | Línea base unificada de seguridad de Microsoft, mapeada a los marcos mayores. Iniciativa de Azure Policy desplegada a nivel de suscripción; Defender for Cloud habilita el panel de cumplimiento regulatorio. |
| CIS Microsoft Azure Foundations v2.0 | P1 | En evidencia | Línea base de seguridad específica de Azure del Center for Internet Security. Enforzada vía Azure Policy en rg-simiriki-prod-eastus2 y monitoreada en el Secure Score de Defender for Cloud. |
| GDPR (UE) | P1 | Planeado | Reglamento General de Protección de Datos de la UE. Relevante si servimos titulares de datos europeos. Las divulgaciones del Artículo 28 (sub-procesadores) ya se publican; el alcance completo se activa con el primer cliente con datos UE. |
| HIPAA (EE. UU.) | P2 | Planeado | Ley estadounidense de portabilidad de seguros de salud. Vertical de salud. No manejamos PHI estadounidense hoy; se activa solo si entramos al mercado de salud de EE. UU. |
| Regulación CNBV (México) | P2 | Planeado | Disposiciones de la Comisión Nacional Bancaria y de Valores (CUB, retención de registros). Vertical bancaria/financiera mexicana. Se activa con el primer cliente regulado por CNBV. |
P0 = máxima prioridad de mercado · P1 = secundaria · P2 = vertical / por contrato. Estado: en-evidencia (controles mapeados, evidencia recolectada) · comprometido-en-auditoría (se atestiguará en el primer contrato empresarial) · planeado (en hoja de ruta, aún no implementado).
El cumplimiento es una responsabilidad compartida entre Microsoft Azure (proveedor de nube), simiriki (proveedor SaaS) y tú (el cliente). La frontera es explícita. "PLANEADO" marca lo que aún no está implementado.
| Capa de control | Microsoft Azure provee | simiriki provee | El cliente provee |
|---|---|---|---|
| Seguridad física de centros de datos | Sí (todo) | Ninguno | Ninguno |
| Parcheo del SO de servicios de plataforma | Sí (Container Apps, PG Flex, Redis, Front Door — gestionados) | Ninguno | Ninguno |
| Código de aplicación y dependencias | Ninguno | Construir, desplegar, parchear (SBOM CycloneDX en cada PR) | Ninguno |
| Identidad y autenticación | Provee plataforma Entra ID | Configura auth de cliente (Entra External ID — PLANEADO); MFA obligatorio en todo admin | Gestiona sus credenciales de admin M365 usadas en el consentimiento OAuth |
| Autorización y RBAC | Ninguno | RBAC de mínimo privilegio en Azure; RLS en datos de aplicación | Aprueba qué scopes de M365 solicita simiriki en el OAuth del conector |
| Encriptación en reposo | Provee llaves gestionadas por plataforma (PMK) por defecto | Encripta datos en reposo; PLANEADO: Llaves Gestionadas por Cliente (CMK) | Ninguno |
| Encriptación en tránsito | Provee endpoints TLS | Enforza TLS 1.2 mínimo de extremo a extremo | Se conecta por HTTPS (navegadores / clientes API del lado del cliente) |
| Respaldo y restauración | Provee PITR de Azure PG + blob GRS | Configura respaldos; corre simulacros de restauración (PLANEADO primer simulacro 2026-07-15) | Decide la ventana de retención de sus exportaciones de datos |
| Registro y monitoreo | Provee infraestructura de Log Analytics + Application Insights | Configura recolección; instrumenta eventos; corre actor_audit_log con cadena de hash | Revisa el rastro de auditoría de su propio tenant M365 |
| Respuesta a incidentes | Provee alertas de Azure Service Health | Detecta, responde y notifica al cliente en ≤ 24h (LFPDPPP Art. 20) | Notifica a simiriki de incidentes en superficies M365 propias |
| Residencia de datos | Provee infraestructura regional | Región única East US 2 hoy (PLANEADO multi-región por cliente bajo R4) | Selecciona al proveedor según sus requisitos de residencia de datos |
| Derechos del titular (LFPDPPP / GDPR) | Provee plataforma | Atiende solicitudes ARCO en ≤ 10 días hábiles (LFPDPPP Art. 32) | Envía solicitudes ARCO en nombre de sus empleados / usuarios |
Cada tercero que procesa datos de cliente por cuenta de simiriki, conforme al Artículo 28 LFPDPPP / Artículo 28 GDPR. Se refresca trimestralmente.
| Sub-procesador | Jurisdicción | Datos procesados | DPA |
|---|---|---|---|
| Microsoft Azure Microsoft Corporation | US | Cómputo, almacenamiento, base de datos, identidad y correo — toda la información de cliente (región East US 2) | DPA → |
| Microsoft 365 / Graph Microsoft Corporation | US | OAuth de cliente M365 (solo lectura) durante escaneos + Graph SendMail para correo transaccional | DPA → |
| Stripe Stripe, Inc. | US | Procesamiento de pagos. Correo del cliente + payment-intent ID (sin datos de tarjeta — Stripe Checkout aloja el flujo). PCI DSS Level 1. | DPA → |
| Amazon Web Services (S3) Amazon Web Services, Inc. | US | Destino de respaldo de base de datos (legacy). Volcados lógicos diarios de PG, encriptados en reposo (us-east-2). En migración hacia Azure GRS. | DPA → |
| Cloudflare Cloudflare, Inc. | US | Resolución DNS autoritativa para simiriki.com — solo registros DNS, sin datos de cliente | DPA → |
El onboarding de Microsoft Compliance Manager (MCM) está activo. MCM es la capa gratuita de seguimiento de evidencia incluida con nuestra licencia M365 DEVELOPERPACK; mapea controles heredados de Microsoft (típicamente 30–50% del total) y rastrea las acciones de mejora restantes contra los marcos objetivo.
Las auditorías formales de SOC 2 Type II e ISO 27001:2022 se activan con el primer contrato empresarial. No comprometemos fechas específicas de auditoría públicamente porque el costo del asesor (~$40–60K USD/año) debe estar respaldado por ingresos. Las fechas comprometidas están disponibles bajo solicitud.
Hoy: región única en Azure East US 2. El despliegue multi-región por cliente está en diseño bajo R4 (posterior a product-market fit). Si tu requisito de residencia exige una región específica (p. ej. México Central o la UE), conversémoslo antes de firmar — no afirmaremos cobertura que no tenemos.
simiriki mantiene un proceso documentado de respuesta a incidentes. Resumen de los compromisos contractuales:
Recibimos divulgación responsable de vulnerabilidades de seguridad. Acusamos recibo dentro de 72 horas y ofrecemos safe harbor a investigadores de buena fe.
No enmendaremos esta sección para reclamar certificaciones que no poseemos.
Esta página es el resumen público. El documento completo de postura de cumplimiento (con mapeo de controles a ISO 27001 / SOC 2 y artículos LFPDPPP) está disponible bajo solicitud para equipos de procurement.