- ✔MFA disponible para todos los usuarios
- ✔RBAC + aislamiento multi-tenant
- ✔Cifrado en tránsito y reposo (TLS 1.2+, AES-256)
- ✔Audit log inmutable con hash chain
- ✔WIF (sin credenciales cloud estáticas)
- ✔SOC 2 Type I — audit readiness in progress
Sobre este documento
Este es un cuestionario CAIQ-Lite (Consensus Assessments Initiative Questionnaire) pre-rellenado por Lumicost. Cubre los dominios principales del marco CSA (Cloud Security Alliance) para acelerar la evaluación de seguridad por parte de tu equipo de procurement o InfoSec.
Para el cuestionario CAIQ completo (300+ preguntas), evidencia detallada o un DPA firmado, contacta sales@lumicost.com.
Alcance del tratamiento de datos
Lumicost procesa únicamente los datos del Cliente necesarios para entregar el servicio. No vendemos, no perfilamos y no monetizamos datos del Cliente. El acceso interno está limitado por roles, MFA y registrado en el audit log.
Leyenda
- ✅ Sí — Implementado y verificado
- 🟡 Parcial — Implementado parcialmente o disponible en plan superior
- ❌ No — No implementado / en roadmap
- ➖ N/A — No aplicable
Gobierno y gestión de riesgos (GRM)
¿Existe un programa formal de gestión de riesgos de seguridad de la información?
Política documentada, revisión trimestral por leadership. Riesgos clasificados (alto/medio/bajo) con owners.
¿Existe un programa de cumplimiento alineado a estándares reconocidos (SOC 2, ISO 27001)?
Controles diseñados según SOC 2 Trust Services Criteria. SOC 2 Type I — audit readiness en progreso (onboarding Vanta/Drata planificado). Ver roadmap en /trust/security.
¿La empresa tiene un Officer de Seguridad designado?
Security ownership: CTO (acting) con responsabilidades de seguridad definidas y apoyo de asesoría externa. Contacto: security@lumicost.com.
Identidad y control de acceso (IAM)
¿Se usa autenticación multifactor (MFA) para usuarios?
MFA disponible para todos los usuarios vía Auth0 (TOTP, WebAuthn). Obligatorio para roles OWNER/ADMIN en planes Enterprise+.
¿Se soporta SSO (SAML / OIDC) corporativo?
SAML 2.0 y OIDC vía Auth0 Enterprise Connections. Disponible en planes Enterprise y Enterprise Compliance.
¿Existe control de acceso basado en roles (RBAC)?
5 roles: OWNER, ADMIN, ANALYST, MEMBER, VIEWER. Permisos enforcados a nivel de API y de query (tenant_id + role).
¿Existe aprovisionamiento automatizado (SCIM) para gestión de usuarios?
SCIM 2.0 — planificado en el roadmap de Enterprise Identity. Hoy disponible vía API administrativa o invitación; SAML JIT cubre la mayoría de casos enterprise.
¿Las credenciales de cloud del cliente se almacenan de forma segura?
Preferimos Workload Identity Federation (WIF) sin secretos persistentes. Cuando se usan credenciales se cifran AES-256 en Postgres con Fly Secrets para la clave maestra.
¿Acceso de empleados a producción sigue principio de mínimo privilegio?
Acceso por necesidad operativa, MFA obligatoria, todas las acciones registradas en audit log con hash chain.
Seguridad de datos (DSI)
¿Los datos en tránsito están cifrados?
TLS 1.2+ en todos los endpoints públicos (gestionado por Cloudflare y Fly). WireGuard mTLS entre servicios internos.
¿Los datos en reposo están cifrados?
AES-256 a nivel de Neon Postgres (storage). Secretos cifrados con Fly Secrets (KMS de Fly.io).
¿Existe aislamiento entre tenants (multi-tenancy)?
Aislamiento lógico por tenant_id obligatorio en todas las queries. Tests automatizados verifican que no hay filtración cross-tenant. Aislamiento dedicado disponible en Enterprise Compliance.
¿Se clasifican los datos según sensibilidad?
3 niveles: Públicos, Internos, Sensibles (PII, credenciales). Datos sensibles solo accesibles vía rutas auditadas.
¿Se eliminan los datos al terminar el contrato?
Eliminación dentro de 30 días (estándar) o 7 días (Enterprise+). Certificado de eliminación disponible bajo solicitud.
Gestión de claves (EKM)
¿Se rotan las claves de cifrado periódicamente?
Claves de aplicación rotadas anualmente o ante incidente. Claves TLS rotadas automáticamente por Cloudflare/Fly.
¿Soporta BYOK (Bring Your Own Key) o CMK?
Disponible bajo Enterprise Compliance contra plan dedicado. No disponible en planes estándar.
Seguridad de la aplicación (AIS)
¿Se realiza revisión de seguridad en el ciclo de desarrollo (SSDLC)?
PRs requieren revisión, CI con tests automatizados, escaneo SAST en cada commit, dependencias revisadas por Dependabot.
¿La API valida entradas y aplica rate limiting?
Validación de schema en todos los endpoints. Rate limiting por tenant en Cloudflare + nivel aplicación.
¿La aplicación protege contra OWASP Top 10?
Controles documentados para A01-A10:2021. Headers de seguridad (CSP, HSTS, X-Frame-Options) configurados. Queries parametrizadas previenen SQLi.
Gestión de vulnerabilidades y amenazas (TVM)
¿Se realiza pentest periódico?
Pentest externo programado para Q3 2026 (proveedor a definir). Resumen ejecutivo será compartido bajo NDA.
¿Existe escaneo continuo de vulnerabilidades en dependencias?
Dependabot habilitado en todos los repositorios. SLA: críticas <7 días, altas <30 días.
¿Existe canal de divulgación responsable de vulnerabilidades?
security@lumicost.com. Compromiso de respuesta inicial <72 horas.
Continuidad de negocio y recuperación (BCR)
¿Existen backups y plan de recuperación?
PITR (Point-in-Time Recovery) 7 días en plan estándar, 30 días en Enterprise+. RTO: 4 horas. RPO: 15 minutos.
¿Se prueban los procedimientos de recuperación?
Pruebas técnicas trimestrales de restore desde PITR. DR full failover documentado, prueba completa programada para H2 2026.
¿Cuál es el SLA de disponibilidad?
99.5% en planes estándar (créditos por SLA). 99.9% en Enterprise+. Status público en /status.
Auditoría y rendición de cuentas (AAC)
¿Se mantiene un audit log inmutable de acciones?
Audit log con hash chain SHA-256 (cada entrada referencia el hash de la anterior). integrityHash exportable. Retención 7/30/90/365 días según plan.
¿Los clientes pueden exportar su audit log?
Export CSV/JSON disponible. SIEM export (Splunk/Datadog) disponible en Enterprise Compliance.
Cadena de suministro y subprocesadores (STA)
¿Existe lista pública de subprocesadores?
Lista en /trust/subprocessors. Notificación 30 días antes de cambios materiales.
¿Los subprocesadores tienen certificaciones de seguridad?
Todos los subprocesadores principales (Fly.io, Neon, Auth0, Cloudflare, Paddle) cuentan con SOC 2 Type II o equivalente.
¿Se firman DPAs con todos los subprocesadores que tratan datos personales?
DPAs firmados con todos los subprocesadores. SCCs aplicadas a transferencias fuera de UE/Chile cuando corresponde.
Recursos humanos (HRS)
¿Se realizan background checks a nuevos empleados?
Verificación de identidad y referencias laborales. Background check formal en función del rol y jurisdicción.
¿Los empleados firman acuerdos de confidencialidad?
NDA y acuerdo de propiedad intelectual al ingreso. Confidencialidad sobrevive al término del contrato.
¿Se brinda capacitación de seguridad a empleados?
Onboarding incluye módulo de seguridad (phishing, password hygiene, manejo de datos). Refresco anual.
Documentos relacionados
Documentos bajo NDA
- CAIQ completo (CSA v4) con evidencia detallada
- Resumen ejecutivo del último pentest
- DPA estándar (negociable para Enterprise)
- Plan de continuidad de negocio (BCP/DR)
Solicítalos a security@lumicost.com. Asuntos contractuales y DPA personalizado: legal@lumicost.com.