Hoja de ruta de cumplimiento
XELIA opera hoy con controles diseñados alineados a frameworks reconocidos. La diferencia entre "alineado" y "certificado" importa, y la decimos clara: estamos en proceso, no en el final.
Controles técnicos en producción
Cada uno de los siguientes controles está activo hoy en infraestructura productiva y se verifica empíricamente en cada despliegue.
Aislamiento multi-tenant
- PostgreSQL Row-Level Security (RLS) con políticas
tenant_isolation_*en todas las tablas operativas. - Defensa en profundidad: aislamiento aplicación + aislamiento de fila a nivel de base de datos.
- Bridge per-request con AsyncLocalStorage para garantizar el contexto de tenant en cada consulta.
Encriptación
- En reposo: PostgreSQL
pgcryptosobre campos PII sensibles (tokens, credenciales de conector). - En tránsito: TLS 1.3 obligatorio, HSTS con
preload+includeSubDomains. - Rotación de claves trackeada en
secret_inventory.
Autenticación y autorización
- Better Auth (self-hosted) con plugins
organization,phoneNumberytwoFactor. - Sesiones con cookies
HttpOnly,Secure,SameSite=Lax. - RBAC: lista de allowlist para administradores de plataforma; resto de usuarios scope-limited.
Auditoría y observabilidad
audit_log: cada llamada HTTP autenticada (acción, método, ruta, estado, request_id, user_id, tenant_id, timestamp). Retención mínima 90 días.security_events: incidentes de seguridad (auth fallida, intentos de bypass RLS, patrones sospechosos). Retención mínima 1 año.ai_audit_log+legal_consent_ledger: evidencia per-decisión para GDPR Art. 22 / LFPDPPP.
Validación de entrada y firma de webhooks
- Zod en cada endpoint con datos de usuario; sanitizador HTTP previo (XSS, inyección, traversal, prototype pollution).
- Webhooks verificados por firma criptográfica antes de cualquier efecto: Stripe (
whsec_), Twilio (HMAC-SHA1), Meta (HMAC-SHA256).
Resiliencia y respaldos
- Respaldos diarios encriptados; runbook de recuperación
scripts/restore-procedure.mdverificado. - Verificación post-deploy automatizada (
scripts/verify-production.sh, 10 chequeos críticos). - Runbook de rollback con objetivo < 5 min para reversión de código.
Documentos públicos
- Aviso de Privacidad — compatible con LFPDPPP, GDPR y equivalentes regionales.
- Términos y Condiciones — derechos y obligaciones del servicio.
- Acuerdo de Tratamiento de Datos (DPA) — RGPD Art. 28 y equivalentes; firma electrónica disponible.
- Política de Cookies — categorías y opt-out.
- Lista de sub-procesadores — quién, dónde y para qué.
Whitepaper de seguridad detallado. Disponible bajo solicitud para clientes en evaluación. Escríbenos a security@xelia.ai indicando tu organización; respondemos típicamente en 24 horas hábiles.
Reporte de incidentes y vulnerabilidades
Si descubres una vulnerabilidad o sospechas de un incidente que afecta a XELIA o a tus datos, contáctanos por canal directo. Tomamos cada reporte en serio y respondemos en menos de 24 horas hábiles para incidentes de seguridad.
Por ahora no operamos un programa de bug bounty con recompensa monetaria. Reconocemos públicamente a los investigadores responsables (con su consentimiento) en una página de agradecimientos cuando lancemos el programa formal en 2027.
Lo que no reclamamos
XELIA no está certificada en SOC 2 ni ISO 27001 al día de hoy. Las certificaciones son procesos de 6 a 12 meses con auditores independientes; estamos en preparación.
No usamos badges de certificaciones que no tenemos. Cuando obtengamos cada certificación, publicaremos en esta misma página el reporte SOC 2 (resumen ejecutivo) o el certificado ISO con su número y fecha de validez.
Cualquier mensaje comercial o pieza de marketing que afirme lo contrario es un error que pedimos nos reportes a security@xelia.ai para corregir.