Seguridad
Construido para clientes regulados. ISO 27001 y SOC 2 en roadmap.
Cifrado
TLS 1.3 obligatorio. AES-256 en reposo (Postgres + S3 con SSE-KMS). Argon2id para passwords. Hash chain SHA-256 en logs de auditoría.
Aislamiento por empresa
Postgres con Row Level Security. Cada query se filtra automáticamente por empresa (tenant_id). Tests de fuga entre empresas en CI.
Autenticación
MFA TOTP obligatorio para administradores. Lockout tras 5 intentos. Sesiones JWT cortas con rotación.
Auditoría
Trazabilidad inmutable de toda acción crítica con hash encadenado. Defensible ante regulador (SARLAFT, SAGRILAFT).
Backups
RPO 5 min, RTO 1h. Replicación cross-region. Test de restore trimestral.
Compliance del proveedor
ISO 27001 (objetivo 2027), SOC 2 Tipo II (2028), Habeas Data Colombia desde día 1, GDPR DPA disponible.
Reportar vulnerabilidades
Bug bounty público desde fase 4. Mientras tanto, escríbenos a security@grcias.com con PGP key disponible bajo solicitud.