Lo que se puede verificar hoy
simiriki se sitúa entre tu tenant de Microsoft 365 y el motor de remediación que corrige misconfiguraciones en tu nombre. Esa posición eleva el bar de seguridad de plataforma más allá de un sitio SaaS de marketing normal. En lugar de apuntar a certificaciones que aún no tenemos, publicamos una auditoría trimestral con cada vector de seguridad que revisamos y el archivo de código que sostiene cada resultado.
Lee la auditoría completa →
Resumen de la auditoría
- Inyección SQL: consultas parametrizadas en todo el código, sin interpolación de cadenas.
- CSRF: POST/PUT/DELETE cross-origin se rechazan en la capa de proxy.
- OAuth state: todos los callbacks comparan state con crypto.timingSafeEqual.
- Cifrado de tokens en reposo: tokens de acceso de Microsoft Graph y LinkedIn cifrados con AES-256-GCM antes de persistir.
- Firmas de webhook Stripe: verificadas con la API timing-safe oficial; idempotencia respaldada por ledger de eventos en Supabase.
- Verificación HMAC: cada comparación de firma usa crypto.timingSafeEqual; PR #656 cerró las dos últimas rutas no-timing-safe.
La tabla completa — doce vectores con evidencia a nivel de archivo — está en /security-posture.
Lo que publicamos
- Re-auditoría trimestral de la tabla completa de vectores; deltas publicados dentro de 7 días.
- Incidentes reportables bajo LFPDPPP Art. 20 publicados en /trust-center con cronología y plan de no-recurrencia, dentro de los plazos legales.
- Lista de sub-procesadores con ubicación de datos para cada servicio tercero que toca datos de cliente — ver /trust-center y /dpa.
- Contacto público de seguridad en security@simiriki.com con respuesta inicial dentro de 48 horas hábiles.