Seguridad y confianza

Creado para datos de red que no puedes permitirte exponer.

TekFidelityIQ maneja credenciales de Wi-Fi sensibles, datos de clientes multiinquilino e inteligencia de red generada por IA. Así es como la protegemos.

Controles de seguridad

Seis capas de protección, implementadas y verificadas.

Estos no son controles aspiracionales: son la arquitectura realmente implementada, respaldada por migraciones de base de datos, guardas de middleware y código de aplicación de roles.

Aislamiento de datos multiinquilino

Los datos de tus clientes nunca se tocan entre sí.

  • Seguridad a nivel de fila (RLS) aplicada en todas las tablas de la base de datos
  • Consultas restringidas por organización: no es posible un SELECT entre inquilinos
  • El portal de cliente muestra únicamente los sitios y datos de ese cliente
  • El acceso de los ingenieros se limita solo a las organizaciones asignadas

Bóveda de credenciales

Las contraseñas de SSID y las credenciales de red permanecen bajo llave.

  • Cifrado AES-256-GCM en reposo: la clave nunca se almacena junto con el texto cifrado
  • El descifrado ocurre solo en el servidor: nunca se expone en las respuestas de la API
  • Cada intento de revelación genera 4 eventos de auditoría: solicitado, aprobado, denegado o fallido
  • La revelación requiere reautenticación con contraseña + TOTP/aal2 si el MFA está inscrito; los ingenieros no pueden acceder

Registro de auditoría de solo anexado

Cada acción sensible queda registrada y es permanente.

  • El registro de auditoría es solo de INSERT: no se permite UPDATE ni DELETE
  • Cubre autenticación, cambios de personal, facturación, revelaciones de credenciales y cambios de rol
  • Se registran la dirección IP y la marca de tiempo de cada operación sensible
  • Interfaz de auditoría totalmente bilingüe para operadores de MSP que no hablan inglés

Salidas de IA aprobadas por humanos

La IA revela hallazgos. Los humanos aprueban las acciones.

  • Los hallazgos de RCA requieren aprobación explícita antes de que un ingeniero actúe
  • Las salidas de IA de baja confianza se marcan: nunca se actúa sobre ellas automáticamente
  • No existe ninguna ruta de ejecución autónoma de cambios en la red
  • Las solicitudes de remediación se dirigen a una cola de revisión humana, no a ejecución directa

Seguridad del Edge Connector

Los agentes en sitio usan un diseño de token de conocimiento cero.

  • Los tokens de registro se procesan con hash SHA-256: el token en bruto se muestra una sola vez y luego es irrecuperable
  • El agente opera solo con salida por HTTPS: sin ningún receptor de entrada en tu LAN
  • La revocación del token desde la interfaz de administración deshabilita el agente de inmediato
  • La implementación admite instalación en contenedores a través de una ruta controlada de publicación de imágenes

Límite de tasa y prevención de abuso

Los endpoints de API y autenticación están protegidos contra el abuso.

  • Límite de tasa distribuido en todas las rutas de autenticación y sensibles
  • Las cookies de sesión de demostración están firmadas con HMAC: cualquier manipulación restablece a sin sesión
  • Límites más estrictos por IP en los endpoints de revelación de credenciales y de tokens
  • Guardas de ruta a nivel de middleware: evitar la interfaz no evita la autenticación

IA empresarial: trae tu propio LLM (BYO)

Los clientes empresariales pueden configurar su propia clave de OpenAI o Azure OpenAI en lugar de la predeterminada de la plataforma. Las claves BYO se cifran en reposo con AES-256-GCM y se descifran solo en el servidor: nunca se devuelven al navegador ni se registran. Administradas únicamente por los Propietarios de la Plataforma; el autoservicio no está disponible en esta versión.

Cifrado AES-256-GCM: el mismo esquema que la bóveda de SSID
La clave nunca se devuelve al navegador ni se escribe en los registros
Enrutamiento de proveedor por organización con política de reserva explícita
Endpoint de verificación de estado: prueba sin revelar la clave
Registro de auditoría completo: configurada, rotada, deshabilitada, verificada
La reserva silenciosa requiere aceptación explícita por organización

IA que revela hallazgos. Humanos que aprueban acciones.

El motor de RCA y el análisis predictivo de TekFidelityIQ se ejecutan solo sobre telemetría real, nunca sobre datos simulados o fabricados. Cada salida de IA lleva un nivel de confianza. Los hallazgos de baja confianza se marcan y requieren aprobación antes de que un ingeniero pueda actuar. No existe una ruta de ejecución automática. Los cambios en la red siempre requieren una persona en el circuito.

El RCA se ejecuta solo sobre telemetría verificada
Puntuación de confianza en cada hallazgo
Marca de aprobación requerida en salidas de baja confianza
Sin ejecución autónoma de cambios en la red

Preparación de cumplimiento

Arquitectura que se corresponde con los principales marcos.

Preparación para SOC 2 Tipo II
El registro de auditoría, los controles de acceso y el aislamiento de datos se corresponden directamente con los Criterios de Servicios de Confianza de SOC 2.
Alineación con NIST CSF 2.0
Los controles abarcan las funciones Identificar, Proteger, Detectar, Responder y Recuperar.
OWASP ASVS L1
Validación de entradas, autenticación, gestión de sesiones y control de acceso verificados.
Contratos de datos para MSP
La arquitectura de aislamiento por inquilino admite los acuerdos de procesamiento de datos de clientes de los MSP.
Divulgación honesta. TekFidelityIQ es un producto activo con un programa de seguridad en crecimiento. Los controles descritos aquí están implementados en producción. Los puntos abiertos se rastrean y se divulgan de forma proactiva; puntos abiertos actuales: autoservicio de BYO LLM para administradores de clientes (diferido; administrado solo por el Propietario de la Plataforma en la v1). Los compradores empresariales que soliciten un paquete completo de revisión de seguridad o evidencia compartida pueden contactarnos en la página de contacto.

¿Preguntas sobre nuestra postura de seguridad?

Guiamos a compradores empresariales y MSP por nuestra arquitectura de seguridad antes de cualquier contrato. Sin sorpresas, sin texto genérico: solo los controles reales.