Seguridad y Compliance
Última actualización: 16 de mayo de 2026
Arquitectura de seguridad
talyzr aloja su infraestructura en Amazon Web Services (AWS), plataforma certificada mundialmente bajo los más altos estándares de seguridad. La arquitectura está diseñada con los siguientes controles:
- Cifrado en tránsito con TLS 1.3 y en reposo con AES-256.
- Autenticación multifactor (MFA/TOTP) obligatoria para todos los usuarios y para el personal interno.
- Aislamiento de datos por tenant: cada organización accede únicamente a sus propios datos.
- Principio de mínimo privilegio en accesos internos (Zero Trust).
- Monitoreo continuo 24/7 con alertas automatizadas de anomalías y protección contra ataques DDoS en borde.
Estado de certificaciones
talyzr es una plataforma en crecimiento con un programa de compliance activo. Las certificaciones se obtienen de forma progresiva a medida que la plataforma alcanza los volúmenes y requisitos necesarios para cada proceso de auditoría formal.
SOC 2 Type II
Controles base implementadosLos controles internos (cifrado AES-256-GCM, control de acceso con RBAC + RLS DB-level, audit log inmutable, hard-delete GDPR, prompt-injection guardrails) están implementados y operativos. La certificación formal Type II requiere un período de observación de 6+ meses con auditor externo independiente — bajo evaluación para clientes Enterprise US.
ISO 27001
SGSI establecido, auditoría 2027Sistema de Gestión de Seguridad de la Información (SGSI) establecido: 16 políticas formales SEC-001 a SEC-015 ratificadas por la dirección el 2026-05-15, alineadas con el Anexo A de ISO/IEC 27001:2022. Cubren acceso, criptografía, SDLC, IR, BCP/DR, retención, vendor risk, privacidad, sub-procesadores. Auditoría externa con organismo acreditado (BSI / DNV / Bureau Veritas) planificada para 2027.
Ley 19.628 (Chile)
VigenteLa plataforma opera de acuerdo con la Ley de Protección de la Vida Privada de Chile. Los contratos con clientes incluyen cláusulas de tratamiento de datos.
GDPR (Europa)
Bajo solicitudOfrecemos cláusulas contractuales tipo (SCCs) para transferencias internacionales de datos cuando el cliente opera en la UE. Disponible bajo solicitud a support@talyzr.com.
Pruebas de seguridad
talyzr tiene programado un pentest formal externo previo a la auditoría ISO 27001:2022 (target 2027). Hoy ejecuta análisis estático de código (Semgrep + reglas OWASP Top 10) y scanning de dependencias (audit-ci) en cada PR como parte del pipeline de CI/CD, bloqueando merges ante hallazgos HIGH o CRITICAL.
Adicionalmente, mantenemos una suite propia de tests automatizados de seguridad ([apps/api/src/security-audit/](https://github.com/AC-JS/talyzr)) que valida patrones de mass-assignment, secretos en código, PII en logs, y otros controles. Las revisiones de seguridad internas son parte obligatoria de cada cambio significativo, según [SEC-009 — Change Management Policy](/seguridad).
Notificación de brechas
En caso de una brecha de seguridad que afecte datos personales del cliente, talyzr notificará a los clientes afectados <strong>sin demora indebida y dentro de las 72 horas</strong> desde el conocimiento del incidente, conforme a las obligaciones de la Ley N.° 19.628, la Ley 21.719 de Chile, la LGPD de Brasil y el GDPR. El plan formal de respuesta a incidentes está documentado en SEC-005, con clasificación P0–P3 y tiempos de respuesta definidos.
Reportar Vulnerabilidades
Si eres investigador de seguridad y has identificado una vulnerabilidad en la plataforma, te pedimos que no la divulgues públicamente. Contáctanos para divulgación responsable. Toda vulnerabilidad reportada de buena fe recibe acuse de recibo dentro de <strong>48 horas hábiles</strong> y evaluación inicial en <strong>5 días hábiles</strong>. No iniciamos acción legal contra investigadores que actúen de buena fe siguiendo el alcance publicado.
Escríbenos a security@talyzr.com.
Recursos disponibles
Documentación pública para due-diligence comercial:
- Trust Center — los 27 pilares de seguridad y privacidad implementados, con detalle técnico.
- Lista pública de subprocesadores — 11 vendors con ubicación, servicio y mecanismo legal de transferencia.
- Acuerdo de Procesamiento de Datos (DPA) — listo para firma bilateral, incluye SCCs UE/UK.
Bajo NDA, compartimos: CAIQ Lite (Cloud Security Alliance) y SIG Lite (Shared Assessments) pre-rellenados, evidencia de controles técnicos, reportes de auditoría a medida que se obtengan.
Preguntas sobre seguridad o compliance
Para consultas de privacidad y due-diligence: privacy@talyzr.com. Para reporte de vulnerabilidades: security@talyzr.com. Otras consultas comerciales: support@talyzr.com.