Seguridad
Seguridad de la plataforma ReskilIA
Postura
ReskilIA opera como SaaS multi-tenant nativo en la nube, sin servidores ni instalaciones físicas que mantener, con un programa formal de seguridad alineado a los controles del Anexo A de ISO/IEC 27001:2022.
Controles activos
| Dominio | Detalle |
|---|---|
| Aislamiento multi-tenant | Cada cliente accede únicamente a sus propios datos. La separación se aplica tanto a nivel de aplicación como en la base de datos mediante políticas declarativas que rechazan cualquier consulta fuera de alcance. |
| Cifrado en reposo | AES-256 sobre toda la base de datos y los archivos almacenados. |
| Cifrado en tránsito | TLS 1.3 sobre todo el tráfico entrante y todas las comunicaciones internas. |
| Cifrado a nivel de campo | Datos sensibles (correo, identidad, respuestas evaluativas) cifrados con claves derivadas por cliente. La destrucción de la clave del cliente hace ilegibles sus datos en una operación. |
| Doble factor obligatorio | TOTP (RFC 6238) obligatorio para cuentas privilegiadas. |
| Limitación de intentos de acceso | Bloqueo automático por cuenta y por origen ante repetición de credenciales inválidas. |
| Auditoría de accesos | Registro append-only de eventos de autenticación e impersonación con retención de 5 años. |
| Revocación inmediata de sesión | Las sesiones se invalidan globalmente ante cambio de rol, cambio de contraseña, eliminación de cuenta o solicitud explícita. |
| Procesamiento de IA | El análisis opera sobre texto despersonalizado; ningún identificador personal ni nombre de empleado se envía al modelo. |
| Derechos del titular | Exportación completa y eliminación atómica disponibles a solicitud del responsable, con registro evidencial de la operación. |
| Retención automatizada | Política configurada por categoría de dato, ejecutada por proceso programado. |
| SDLC seguro | Pipeline de integración con análisis estático, auditoría de dependencias, escaneo de secretos y escaneo de imágenes — bloquean cualquier cambio que no cumpla los gates. |
| Análisis de brechas ISO 27001:2022 | Completo. Controles del Anexo A revisados con plan de remediación trazable. |
Datos del titular
ReskilIA actúa como encargado del tratamiento bajo instrucciones del responsable (la organización cliente).
- Acceso. Exportación completa de los datos de un titular en formato estructurado a solicitud del responsable.
- Borrado. Eliminación atómica que cubre base de datos y archivos asociados, con registro append-only de la operación.
- Retención. Purga automatizada al finalizar el periodo configurado en el contrato.
- Notificación de incidentes. Comunicación al responsable dentro del plazo establecido por la Ley 21.719 (Chile) y normativa equivalente LATAM.
Resiliencia
- Respaldos gestionados con recuperación a un punto en el tiempo.
- Autoescalado de cómputo con failover automático dentro de la región.