Seguridad · 27 años operando infraestructura crítica

Seguridad por diseño.

Aztec Studio nació cableando redes para empresas que no podían permitirse caerse. Esa cultura — disponibilidad continua, defensa en profundidad, redundancia obligatoria — es hoy la base de cada Agente Digital y cada solución que construimos.

Principio operativo · Defense in DepthEstándar base · ISO/IEC 27001 en rutaCumplimiento · LFPDPPP
🔒
Cifrado
En tránsito y en reposo. Estándares bancarios sin excepciones.
🛡️
Defensa en profundidad
Capas múltiples de control. Si una falla, las demás protegen.
📋
Redundancia
Cada componente crítico tiene respaldo operativo inmediato.
👁️
Auditoría continua
Monitoreo 24/7. Cada acción sensible queda registrada.

1.Cifrado

Todos los datos en tránsito viajan sobre TLS 1.3 con certificados renovados automáticamente. Los datos en reposo se cifran con AES-256 a nivel de proveedor de infraestructura. Las credenciales de acceso a sistemas de clientes se almacenan exclusivamente en bóvedas cifradas (secrets managers), nunca en código fuente ni variables de entorno en texto plano.

2.Control de acceso

  • Principio de mínimo privilegio: cada componente del sistema accede únicamente a lo que necesita para funcionar
  • MFA obligatorio para todos los accesos administrativos a consolas de producción
  • Revisión trimestral de permisos y accesos activos
  • Offboarding inmediato: revocación de accesos en el mismo día de baja del colaborador

3.Aislamiento por cliente

Cada cliente opera en un entorno lógicamente aislado. Los datos de una empresa nunca se mezclan con los de otra. Los Agentes Digitales implementados para un cliente se configuran, entrenan y operan exclusivamente con los datos de ese cliente.

Aislamiento multi-tenant

La arquitectura de la plataforma de Agentes Digitales implementa aislamiento a nivel de base de datos, contexto de ejecución y configuración. No hay rutas de código que permitan acceso cruzado entre clientes.

4.Respaldos y continuidad

  • Respaldos diarios automatizados con retención de 30 días
  • Prueba de restauración mensual para validar integridad de los respaldos
  • Georredundancia para servicios críticos bajo acuerdo SLA prioritario
  • RTO objetivo: menos de 4 horas para servicios bajo retainer crítico

5.Monitoreo y auditoría

Operamos monitoreo 24/7 con alertas automáticas ante anomalías. Cada acción sensible (acceso a consolas, modificaciones de configuración, acceso a datos de cliente) queda registrada en logs inmutables con retención mínima de 12 meses.

6.Desarrollo seguro

  • Revisión de código obligatoria antes de merge a producción
  • Análisis de dependencias automático en cada build (SAST/SCA)
  • Variables de entorno gestionadas via secrets managers, nunca en repositorio
  • Ambientes separados para desarrollo, staging y producción

7.Seguridad de Agentes Digitales

Los Agentes Digitales (OLIN, MATi, VECKi, TONI) están diseñados con principios de seguridad específicos para IA:

  • Validación de entrada: filtrado de intentos de inyección de prompt
  • Scope de herramientas: cada agente solo tiene acceso a las herramientas necesarias para su función
  • Sin persistencia de contexto entre sesiones de diferentes usuarios
  • Auditoría de conversaciones con marcas de tiempo y trazabilidad completa

8.Cumplimiento

— LFPDPPP
Ley Federal de Protección de Datos Personales — cumplimiento activo
— ISO/IEC 27001
Controles de seguridad de información — en proceso de certificación
— SAT / CFDI
Cumplimiento fiscal completo para emisión de facturas electrónicas
— Banxico / SPEI
Operaciones de pago alineadas a normativa de Banco de México

9.Respuesta a incidentes

En caso de incidente de seguridad que afecte datos personales:

  1. Detección y contención inmediata (objetivo: menos de 1 hora)
  2. Evaluación de impacto y clasificación de la brecha
  3. Notificación a clientes afectados en máximo 72 horas
  4. Reporte al INAI cuando aplique por LFPDPPP
  5. Post-mortem y refuerzo de controles

10.Reportar vulnerabilidades

Si descubres una vulnerabilidad en nuestros sistemas, te pedimos reportarla de forma responsable antes de divulgarla públicamente.

— Canal de reporte
security@aztecstudio.net
— Tiempo de respuesta
Acuse en 24 h hábiles · resolución en 30 días
Programa de disclosure responsable

Agradecemos los reportes de buena fe. Si tu reporte es válido y nuevo, lo reconoceremos públicamente (con tu permiso) y trabajaremos contigo para coordinación de divulgación. No iniciaremos acciones legales contra investigadores que sigan un proceso de responsible disclosure.