Cifrado
TLS 1.3 en tránsito · AES-GCM 256 en reposo · claves por tenant en KMS.
Seguridad, privacidad y resiliencia — con fechas, con métodos, con fuentes.
Ninguna certificación se declara hasta que el reporte auditado esté disponible: las fechas abajo son objetivos públicos, no estado vigente. Si tu equipo de seguridad necesita algo que no vemos listado, escríbenos.
No son lemas: cada una se puede verificar en el código, en la arquitectura o en el reporte de auditoría.
Datos personales cifrados por defecto, agregación con k-anonymity k ≥ 5 antes de cualquier reporte, minimización de retención (90 días de audit log caliente, archivo cifrado según plan).
Ninguna persona tiene acceso permanente a datos de cliente. Accesos de soporte vía break-glass con aprobación de dos + expiración automática; cada evento queda en audit log con hash chain.
mTLS interno entre servicios, identidad y autorización por request, sin "red interna" implícita. Pentests anuales externos + bug bounty continuo.
Ninguna métrica sin cita pública. Sin reporte bajo umbral estadístico. Sin convertir ΔHRV debajo de MDC95 en "lift vagal" para quedar bien.
| Marco | Estado | Objetivo | Aplica en |
|---|---|---|---|
| SOC 2 Type II | En auditoría | 2026-Q3 | Todos los planes |
| ISO 27001 | Gap assessment | 2026-Q4 | Enterprise |
| ISO 27701 | Scoped | 2027-Q1 | Enterprise |
| HIPAA | BAA disponible | Vigente | Enterprise · BAA firmable |
| GDPR / LFPDPPP / LGPD / CCPA | Alineado | Vigente | Todos los planes |
TLS 1.3 en tránsito · AES-GCM 256 en reposo · claves por tenant en KMS.
SSO SAML/OIDC · SCIM 2.0 · MFA TOTP/WebAuthn · rotación de sesiones.
RBAC granular · least-privilege · break-glass auditado.
Append-only con hash chain verificable.
RPO 15 min · RTO 4 h · multi-AZ · respaldo inmutable 30 días.
US · EU · APAC · LATAM bajo demanda.
k-anonymity k ≥ 5 · noise diferencial ε = 1.0.
BCP/DRP documentados · ejercicios trimestrales.
Cada métrica reportable está anclada a literatura revisada por pares. Ningún claim usa score propietario sin referencia. Los detalles permiten a RH/Salud Laboral validar el reporte contra sus propios estándares.
| Instrumento | Rango | Periodicidad | Referencia |
|---|---|---|---|
| PSS-4 (estrés percibido) | 0–16 | Mensual | Cohen 1983 |
| SWEMWBS (bienestar) | 7–35 (Rasch) | Trimestral | Stewart-Brown et al. 2009 |
| PHQ-2 (screener depresión) | 0–6 · cutoff ≥ 3 | A demanda | Kroenke, Spitzer & Williams 2003 |
| NOM-035-STPS Guía II | 46 ítems | Anual legal | STPS México 2018 |
Fórmula publicada, parámetros conservadores, sensibilidad auditable:
recoveredHours = sessionsMinutes × observedLift × residualFactor / 60
observedLift — 0..1, capsulado en 0.35 (effectSizeCap)
evita sobre-reporte por self-report inflado
residualFactor — default 2.0× duración de sesión
persistencia de carryover post-intervención breve
minSessions — 30 (no se reporta ROI debajo de este umbral)
hourlyLoadedCost — default USD 60 (knowledge worker global 2026)Base empírica del residualFactor: Zeidan et al. 2010 (Consciousness & Cognition 19:597-605); Basso et al. 2019 (Behavioural Brain Research 356:208-220). Los valores del cliente son ajustables: RH/Finanzas pueden sustituir defaults con su propio costo cargado y tolerancia a efecto observado, y ver sensibilidad directamente en el dashboard.
Definimos reportable como cualquier evento con impacto material en confidencialidad, integridad o disponibilidad que active notificación a clientes bajo el DPA o a reguladores (GDPR Art. 33 — 72 h). Eventos operativos menores sin exfiltración se publican en el Status Page.
Recibimos reportes de investigadores externos bajo safe-harbor. No litigamos reportes hechos de buena fe, dentro del alcance listado, sin exfiltrar datos de clientes.
La seguridad que vende slides no es seguridad — es marketing. Lo que ves aquí son los controles que pasan un pentest y los documentos que firma tu legal. Si algo en esta página no se sostiene cuando lo verifique tu CISO, escribe a trust@bio-ignicion.app — lo arreglamos antes de que firmes nada.
— Equipo de Trust
El contenido del Trust Center es revisado y aprobado por el equipo de Trust — Seguridad, Privacidad y Plataforma — al menos cada 90 días. Los cambios materiales se publican en el Changelog y los clientes con DPA firmado reciben notificación por correo.