- ✔Cifrado en tránsito y en reposo (TLS 1.2+, AES-256)
- ✔RBAC + aislamiento multi-tenant enforzado por
tenant_id - ✔Audit log inmutable con hash chain SHA-256
- ✔Sin acceso al contenido de las cargas del cliente
- ✔MFA, SSO/SAML y Web Identity Federation
- ●SOC 2 Type I — audit readiness en progreso
1. Resumen ejecutivo
Lumicost es una plataforma SaaS multi-tenant de FinOps + Compliance multi-cloud. La protección de los datos de nuestros clientes es la base de nuestro producto. Esta página describe los controles técnicos y organizacionales que tenemos hoy en producción, sin marketing y sin promesas vacías. Las certificaciones formales (SOC 2, ISO 27001) están en preparación: ver roadmap en la sección 11.
2. Cifrado
2.1 En tránsito
- TLS 1.2+ obligatorio en todos los endpoints públicos (HTTP Strict Transport Security activo).
- Certificados gestionados automáticamente por Cloudflare y Fly.io (renovación automática).
- Comunicación interna entre servicios sobre la red privada de Fly.io (WireGuard).
2.2 En reposo
- Base de datos Postgres en Neon: AES-256 transparente a nivel de bloque.
- Backups encriptados con la misma política.
- Secretos en Fly Secrets (no en imágenes ni en logs).
3. Autenticación e identidad
- Auth0 como proveedor de identidad (custom domain
auth.lumicost.com). - MFA disponible para todos los usuarios. Recomendado en organizaciones Enterprise.
- Google Sign-In verificado por Google (Brand Verification + Limited Use scopes, abril 2026).
- SSO/SAML disponible en planes Enterprise y Enterprise Compliance.
- Sin credenciales estáticas hacia los proveedores cloud del Cliente: usamos Web Identity Federation con nuestro propio OIDC issuer.
4. Autorización y RBAC
Cinco roles definidos: OWNER, ADMIN, ANALYST,MEMBER, VIEWER. Cada endpoint del API enfuerza el rol mínimo requerido, y cada operación se valida contra el tenant_id del usuario para garantizar el aislamiento multi-tenant. Roles personalizados están en el roadmap para Enterprise Compliance.
5. Auditoría
- Toda acción sensible queda registrada en un audit log inmutable.
- Cada entrada incluye un hash SHA-256 encadenado con la entrada previa (hash chain) para detectar manipulación retroactiva.
- Los exports de evidencia de cumplimiento incluyen un
integrityHashpara verificación independiente. - Retención: 7 días (Starter), 30 días (Growth), 90 días (Enterprise), 365 días firmados (Enterprise Compliance).
6. Multi-tenancy y aislamiento de datos
- Todas las tablas de datos llevan
tenant_id; cada query lo enforza. - El backend valida el
tenant_idcontra el JWT en cada request mediante un filtro de seguridad central. - No existe acceso cross-tenant excepto para superadministradores internos, y queda registrado en el audit log.
7. Datos cloud del Cliente
Lumicost se conecta a las cuentas cloud del Cliente con permisos de solo lectura sobre los servicios mínimos necesarios:
- AWS: Cost Explorer + Read-only sobre EC2/EBS/RDS/S3 (cross-account IAM role asumible vía OIDC).
- GCP: Billing API + Compute viewer (Workload Identity Federation).
- Azure: Cost Management + Reader (Service Principal con scope mínimo).
- Kubernetes (GKE/EKS): metrics-server / cAdvisor (read-only).
No accedemos al contenido de las cargas de trabajo — ni objetos en S3, ni datos en bases de datos, ni secretos. Solo metadatos de facturación y configuración.
8. Backups y recuperación
- Postgres con Point-in-Time Recovery automático (Neon) — ventana de 7 días en planes base, 30 días en Enterprise+.
- RTO objetivo: 4 horas. RPO objetivo: 15 minutos.
- Tests de recuperación documentados trimestralmente.
9. Disponibilidad y resiliencia
- Multi-región en Fly.io (despliegue activo en
iad+gru). - Health checks automáticos con rolling deploys; rollback inmediato ante fallos.
- Status page público disponible en /status.
- SLA formal disponible bajo contrato Enterprise (99.5% mensual estándar; 99.9% en Enterprise Compliance).
10. Gestión de vulnerabilidades
- Dependencias gestionadas con Dependabot y revisión semanal de CVEs críticos.
- Imágenes Docker construidas con bases minimales y reescaneadas en cada deploy.
- No usamos paquetes con vulnerabilidades conocidas High o Critical sin remediar.
- Penetration testing externo: programado para Q3 2026.
- Divulgación responsable de vulnerabilidades: security@lumicost.com · /.well-known/security.txt.
11. Roadmap de cumplimiento
Operamos hoy bajo controles diseñados contra los criterios de SOC 2. Las certificaciones formales se ejecutan en orden de impacto comercial. Las fechas indicadas reflejan la planificación actual y se confirman tras kickoff con la audit firm.
| Certificación / control | Estado | Trigger / fecha |
|---|---|---|
| Privacy Policy alineada a GDPR + Ley 21.719 | ✅ Disponible | /privacy |
| DPA (Data Processing Agreement) | ✅ Disponible | /legal/dpa |
| Security questionnaire (CAIQ-Lite) | ✅ Pre-rellenado | /trust/caiq |
| SOC 2 Type I | 🟡 Audit readiness en progreso | Onboarding planificado con Vanta/Drata. |
| SOC 2 Type II | 📋 Roadmap | ~6 meses tras Type I (observation period). |
| ISO 27001 | 📋 Roadmap | Tras cierre de SOC 2 Type II o por requerimiento europeo. |
| Penetration test anual | 🟡 Programado | Q3 2026. |
| HIPAA / FedRAMP Low (productos) | 🟡 En implementación | Disponible en plan Enterprise Compliance bajo contrato. |
12. Subprocesadores
La lista actualizada de proveedores que procesan datos en nuestro nombre (con su región y certificaciones) está en /trust/subprocessors. Notificamos cualquier cambio material con al menos 30 días de antelación a clientes Enterprise+ vía email.
13. Documentos disponibles bajo NDA
- Reporte de pen test detallado (resumen ejecutivo público).
- Diagramas de arquitectura interna.
- Reporte SOC 2 (cuando esté disponible).
- Plan de continuidad de negocio (BCP/DR) y resultados de pruebas de recuperación.
Solicitar a security@lumicost.com indicando empresa y contacto del equipo legal/security.
14. Contacto
- Reporte de vulnerabilidades: security@lumicost.com (security.txt)
- Cumplimiento, DPA, MSA: sales@lumicost.com
- Status del servicio: /status