> ## Documentation Index
> Fetch the complete documentation index at: https://docs.puente.xyz/llms.txt
> Use this file to discover all available pages before exploring further.
# Seguridad
> Arquitectura de seguridad, encriptación, hosting, backups y roadmap de compliance de Puente OS.
Puente OS opera infraestructura productiva para clientes de retail, eCommerce y logística en LATAM. La seguridad es responsabilidad compartida: nosotros operamos la plataforma, tu organización controla a quién le das acceso y qué datos suben a ella. Esta página describe qué medidas tenemos hoy y qué estamos construyendo.
Si tu equipo de IT necesita material formal para due diligence, escríbenos a [octavio@puente.xyz](mailto:octavio@puente.xyz) y te enviamos el security questionnaire completo.
## Infraestructura
| Concepto | Detalle |
| ---------------------- | ----------------------------------------------------- |
| **Cloud provider** | Google Cloud Platform (GCP) |
| **Región principal** | `southamerica-west1` (Santiago, Chile) |
| **Hosting de backend** | Google Cloud Run (containerizado, auto-scaling) |
| **Base de datos** | Google Cloud SQL gestionado (PostgreSQL) |
| **Multi-tenancy** | Estricta. Workspace A nunca lee data del Workspace B. |
Hostear en `southamerica-west1` reduce latencia para clientes en Chile/Perú/Argentina y mantiene los datos dentro de la región — relevante para empresas con políticas internas de residencia de datos LATAM.
## Encriptación
| Dónde | Estándar |
| ------------------------------- | ------------------------------------------------------------------------ |
| **En reposo** | AES-256 (default GCP en Cloud SQL y Cloud Storage) |
| **En tránsito** | TLS 1.3 |
| **Credenciales de integración** | Almacenadas encriptadas en el backend, nunca expuestas en respuestas API |
## Autenticación y acceso
| Capability | Estado |
| ------------------------------------- | ------------------------------------- |
| **Login con email/password** | Disponible |
| **OAuth con Google** | Disponible |
| **OAuth con Microsoft** | Disponible |
| **Multi-Factor Authentication (MFA)** | Disponible vía Google/Microsoft OAuth |
| **SSO vía SAML** | En roadmap — Q3 2026 |
| **SCIM (provisioning automático)** | En roadmap — Q1 2027 |
| **Roles a nivel Workspace/Team** | Disponible |
| **RBAC granular a nivel Build** | En roadmap — Q3 2026 |
Para detalles del roadmap ver [Enterprise](/enterprise).
## Backups y disaster recovery
| Aspecto | Detalle |
| ----------------------------- | ----------------------------------------------- |
| **Backups automáticos de BD** | Diarios, retención 30 días (default Cloud SQL) |
| **Point-in-time recovery** | Hasta 7 días atrás |
| **Replicación** | Automática dentro de región (high availability) |
| **Restauración** | Bajo demanda con SLA acordado según plan |
## Logs y auditoría
| Aspecto | Estado |
| ---------------------------------------------------- | ------------------------------------------------- |
| **Logs de ejecución de workflows** | Disponibles vía panel de Resultados e Historial |
| **Logs de cambios en Builds (apps, tablas, agents)** | Trackeados en backend, sin UI consultable todavía |
| **Audit log consultable (quién hizo qué, cuándo)** | En roadmap — Q3 2026 |
| **Exportación de logs a sistema externo (SIEM)** | En roadmap — Q4 2026 |
## Compliance
| Certificación | Estado |
| ---------------- | --------------------------------------------------------------------------------------------- |
| **SOC 2 Type 1** | En proceso — Q4 2026 |
| **SOC 2 Type 2** | En proceso — Q1 2027 (tras 6 meses de evidencia) |
| **ISO 27001** | En proceso — Q4 2026 |
| **GDPR / LGPD** | Cumplimos requisitos básicos (data subject rights, data processing agreements bajo solicitud) |
Hoy NO contamos con certificaciones formales SOC 2 o ISO 27001. Si tu organización requiere certificación vigente para firmar, escríbenos para discutir cronograma del piloto.
## Privacidad
* **Data de cliente** — vive aislada por Workspace. No usamos data de cliente para entrenar modelos.
* **Modelos de IA** — model-agnostic. Tu Workspace decide qué modelo usa (OpenAI, Anthropic, Google, etc.) y nosotros nunca enviamos data fuera de los providers que tú autorizaste.
* **Borrado** — bajo solicitud escrita a soporte, eliminamos completamente la data del Workspace en 30 días.
## Reportar una vulnerabilidad
Si descubres una vulnerabilidad de seguridad, escríbenos a [octavio@puente.xyz](mailto:octavio@puente.xyz) con la palabra "SECURITY" en el subject. Respondemos en menos de 24 horas hábiles. No tenemos bug bounty público todavía, pero reconocemos públicamente a quien reporte issues críticos con tu autorización.
## Preguntas frecuentes
Por default, en GCP región `southamerica-west1` (Santiago, Chile). Si tu organización requiere otra región (US, EU) para compliance, podemos discutirlo en el plan Enterprise.
No. Tu data nunca se usa para entrenar modelos de IA. Los modelos que el workspace consume son los que tú autorices (OpenAI, Anthropic, Google) y se llaman vía API sin reentrenamiento.
Bajo solicitud escrita, eliminamos toda tu data en 30 días. Antes, te entregamos export completo en CSV (tablas) + JSON (workflows) + ZIP (apps).
Sí. Plantilla disponible bajo solicitud. Soportamos DPAs custom en plan Enterprise.
No hoy. Hybrid deployment (datos en VPC del cliente) está en roadmap para Q1 2027. Para clientes con requisitos estrictos antes de esa fecha, escríbenos.
***
SSO, RBAC, audit logs, SOC 2 y deployment hybrid con fechas comprometidas.