FuncionalidadesCasos de UsoBlogReferencia APIPor Qué CorePlexMLPrecios
Empezar Gratis
Seguridad

Seguridad Empresarial

Arquitectura security-first con autenticación multicapa, control de acceso granular, cifrado en cada capa e infraestructura de auditoría preparada para cumplimiento normativo.

Seguridad en cada capa

Desde la autenticación hasta el almacenamiento de datos, cada componente está diseñado con principios de defensa en profundidad para proteger tus flujos de trabajo de ML y datos sensibles.

Stack de Autenticación

Autenticación multicapa que soporta acceso UI basado en sesiones, autenticación por API key, proveedores OAuth y SSO empresarial para federación de identidad sin fricciones.

  • Sesiones seguras basadas en cookies con protección CSRF para la UI del navegador
  • Autenticación por Bearer token para integraciones API y SDKs
  • Proveedores OAuth 2.0: inicio de sesión único con Google y GitHub
  • SSO empresarial mediante SAML 2.0 y OpenID Connect (OIDC)

Control de Acceso Basado en Roles

Permisos granulares con alcance de proyecto y tres roles definidos. Cada endpoint de la API verifica la propiedad antes de otorgar acceso a los recursos.

  • Owner: control total incluyendo gestión de miembros y eliminación
  • Editor: crear y modificar datasets, experimentos y despliegues
  • Viewer: acceso de solo lectura a recursos del proyecto y dashboards
  • Verificación de propiedad en cada endpoint mediante require_project_owned()

Seguridad de Datos

Protección de datos en profundidad con seguridad a nivel de fila en PostgreSQL, cifrado AES-256 en reposo, TLS 1.3 en tránsito y despliegue de bases de datos en subredes privadas.

  • Seguridad a nivel de fila en PostgreSQL para aislamiento de datos por tenant
  • Cifrado AES-256 en reposo para todos los datos y artefactos almacenados
  • Cifrado TLS 1.3 en tránsito para todas las conexiones API y UI
  • Bases de datos desplegadas en subredes privadas sin acceso directo a internet

Auditoría y Cumplimiento

Registro de auditoría exhaustivo que captura cada evento relevante de seguridad. Herramientas de cumplimiento integradas para exportación de datos GDPR, derecho al olvido y reportes regulatorios.

  • Registro de auditoría inmutable para autenticación, acceso y operaciones de datos
  • Seguimiento de eventos de seguridad: intentos fallidos de inicio de sesión, cambios de permisos, rotación de claves
  • Portabilidad de datos GDPR Artículo 20 vía API de exportación completa de cuenta
  • Derecho al olvido: eliminación completa de cuenta y datos en 30 días

Gestión de API Keys

Ciclo de vida seguro de API keys con permisos por alcance, políticas de rotación automática y revocación instantánea. Las claves se almacenan hasheadas y nunca en texto plano.

  • Crea múltiples API keys con etiquetas descriptivas por cuenta
  • Permisos por alcance: restringe claves a proyectos o endpoints específicos
  • Políticas de rotación configurables con períodos de gracia para migración
  • Revocación instantánea con propagación en tiempo real en todos los servicios

Gestión de Sesiones

Modelo de autenticación dual con sesiones seguras por cookie para la UI del navegador y tokens Bearer sin estado para consumidores de API. Políticas configurables de expiración y tiempo de inactividad.

  • Sesiones con cookies HttpOnly, Secure, SameSite con validación de token CSRF
  • Tokens JWT Bearer sin estado para autenticación API y SDK
  • Expiración de sesión configurable y umbrales de tiempo de inactividad
  • Límites de sesiones concurrentes con cierre forzado al cambiar contraseña
RBAC

Matriz de permisos

Roles con alcance de proyecto y límites de permisos claros. Cada llamada a la API se verifica contra el rol del solicitante antes de su ejecución.

AcciónOwnerEditorViewer
Ver proyectos y dashboards
Subir datasets y versiones
Ejecutar experimentos AutoML
Desplegar modelos a endpoints
Configurar alertas y reentrenamiento
Gestionar miembros del proyecto
Eliminar proyecto y recursos
Rotar y revocar API keys
AES-256
Cifrado en reposo
TLS 1.3
Cifrado en tránsito
SOC 2
Tipo II preparado
99.9%
SLA de disponibilidad
CUMPLIMIENTO NORMATIVO

Diseñado para cumplimiento normativo

HIPAA
Health Insurance Portability and Accountability Act
Protección de PHI, controles de acceso, registros de auditoría
GDPR
General Data Protection Regulation
Exportación de datos, derecho al olvido, gestión de consentimiento
PCI-DSS
Payment Card Industry Data Security Standard
Cifrado de datos de tarjetas, registro de accesos
CCPA
California Consumer Privacy Act
Derechos de datos del consumidor, exclusión voluntaria, divulgación
PRÁCTICAS

Operaciones de seguridad

Gestión de vulnerabilidades

Auditorías de seguridad regulares y análisis automatizado de vulnerabilidades en dependencias. Parches críticos aplicados dentro de las 24 horas posteriores a la divulgación.

Divulgación responsable

Mantenemos un programa de divulgación responsable y damos la bienvenida a investigadores de seguridad para reportar vulnerabilidades a security@coreplexml.io.

Respuesta a incidentes

Plan de respuesta a incidentes documentado con rutas de escalamiento definidas, rotación de guardia 24/7 y proceso de revisión post-incidente.

Pruebas de penetración

Pruebas de penetración anuales por terceros de todos los servicios, APIs y flujos de autenticación expuestos externamente, con seguimiento de remediación.