Si tu equipo de IT necesita material formal para due diligence, escríbenos a octavio@puente.xyz y te enviamos el security questionnaire completo.
Infraestructura
| Concepto | Detalle |
|---|---|
| Cloud provider | Google Cloud Platform (GCP) |
| Región principal | southamerica-west1 (Santiago, Chile) |
| Hosting de backend | Google Cloud Run (containerizado, auto-scaling) |
| Base de datos | Google Cloud SQL gestionado (PostgreSQL) |
| Multi-tenancy | Estricta. Workspace A nunca lee data del Workspace B. |
Encriptación
| Dónde | Estándar |
|---|---|
| En reposo | AES-256 (default GCP en Cloud SQL y Cloud Storage) |
| En tránsito | TLS 1.3 |
| Credenciales de integración | Almacenadas encriptadas en el backend, nunca expuestas en respuestas API |
Autenticación y acceso
| Capability | Estado |
|---|---|
| Login con email/password | Disponible |
| OAuth con Google | Disponible |
| OAuth con Microsoft | Disponible |
| Multi-Factor Authentication (MFA) | Disponible vía Google/Microsoft OAuth |
| SSO vía SAML | En roadmap — Q3 2026 |
| SCIM (provisioning automático) | En roadmap — Q1 2027 |
| Roles a nivel Workspace/Team | Disponible |
| RBAC granular a nivel Build | En roadmap — Q3 2026 |
Backups y disaster recovery
| Aspecto | Detalle |
|---|---|
| Backups automáticos de BD | Diarios, retención 30 días (default Cloud SQL) |
| Point-in-time recovery | Hasta 7 días atrás |
| Replicación | Automática dentro de región (high availability) |
| Restauración | Bajo demanda con SLA acordado según plan |
Logs y auditoría
| Aspecto | Estado |
|---|---|
| Logs de ejecución de workflows | Disponibles vía panel de Resultados e Historial |
| Logs de cambios en Builds (apps, tablas, agents) | Trackeados en backend, sin UI consultable todavía |
| Audit log consultable (quién hizo qué, cuándo) | En roadmap — Q3 2026 |
| Exportación de logs a sistema externo (SIEM) | En roadmap — Q4 2026 |
Compliance
| Certificación | Estado |
|---|---|
| SOC 2 Type 1 | En proceso — Q4 2026 |
| SOC 2 Type 2 | En proceso — Q1 2027 (tras 6 meses de evidencia) |
| ISO 27001 | En proceso — Q4 2026 |
| GDPR / LGPD | Cumplimos requisitos básicos (data subject rights, data processing agreements bajo solicitud) |
Privacidad
- Data de cliente — vive aislada por Workspace. No usamos data de cliente para entrenar modelos.
- Modelos de IA — model-agnostic. Tu Workspace decide qué modelo usa (OpenAI, Anthropic, Google, etc.) y nosotros nunca enviamos data fuera de los providers que tú autorizaste.
- Borrado — bajo solicitud escrita a soporte, eliminamos completamente la data del Workspace en 30 días.
Reportar una vulnerabilidad
Si descubres una vulnerabilidad de seguridad, escríbenos a octavio@puente.xyz con la palabra “SECURITY” en el subject. Respondemos en menos de 24 horas hábiles. No tenemos bug bounty público todavía, pero reconocemos públicamente a quien reporte issues críticos con tu autorización.Preguntas frecuentes
¿Dónde se almacenan mis datos?
¿Dónde se almacenan mis datos?
Por default, en GCP región
southamerica-west1 (Santiago, Chile). Si tu organización requiere otra región (US, EU) para compliance, podemos discutirlo en el plan Enterprise.¿Puente OS usa mi data para entrenar modelos?
¿Puente OS usa mi data para entrenar modelos?
No. Tu data nunca se usa para entrenar modelos de IA. Los modelos que el workspace consume son los que tú autorices (OpenAI, Anthropic, Google) y se llaman vía API sin reentrenamiento.
¿Qué pasa si dejo de ser cliente?
¿Qué pasa si dejo de ser cliente?
Bajo solicitud escrita, eliminamos toda tu data en 30 días. Antes, te entregamos export completo en CSV (tablas) + JSON (workflows) + ZIP (apps).
¿Pueden firmar un Data Processing Agreement (DPA)?
¿Pueden firmar un Data Processing Agreement (DPA)?
Sí. Plantilla disponible bajo solicitud. Soportamos DPAs custom en plan Enterprise.
¿Self-hosted / on-premises está disponible?
¿Self-hosted / on-premises está disponible?
No hoy. Hybrid deployment (datos en VPC del cliente) está en roadmap para Q1 2027. Para clientes con requisitos estrictos antes de esa fecha, escríbenos.
Roadmap completo de Enterprise
SSO, RBAC, audit logs, SOC 2 y deployment hybrid con fechas comprometidas.