FlexiSurvey aplica controles por capas para separar los datos de los clientes, proteger campos sensibles, gobernar el acceso y preservar un registro operativo. Esta página describe el estado actual de los controles y de las garantías; hay documentos detallados disponibles para revisiones cualificadas.

El aislamiento por inquilino se aplica en la aplicación y mediante políticas de seguridad a nivel de fila de PostgreSQL en las tablas delimitadas por inquilino, de modo que una consulta que omita el filtro de inquilino sigue sin devolver datos de otros inquilinos. Hay una nota de arquitectura fechada disponible para revisiones cualificadas.
Los datos se cifran en tránsito (TLS) y en reposo mediante el cifrado de almacenamiento gestionado por AWS que cubre la base de datos y el almacén de archivos, y los dispositivos móviles usan cifrado de dispositivo (AES-256-GCM). Los datos de cada inquilino están además aislados por seguridad a nivel de fila aplicada en la base de datos.
El inicio de sesión admite contraseñas con autenticación de dos factores TOTP, inicio de sesión social de Google y Microsoft, e inicio de sesión único empresarial SAML 2.0 con configuración del proveedor de identidad por inquilino. Los administradores pueden aplicar permisos basados en roles, controles de sesión y listas de IP permitidas.
Las acciones administrativas y de datos importantes se registran en un registro de auditoría con retención configurable. Los administradores controlan quién puede ver y exportar los registros, y las decisiones sobre permisos también quedan registradas.
FlexiSurvey admite registros de consentimiento, solicitudes de acceso y supresión por parte de los interesados, retención y eliminación configurables, y copias de seguridad cifradas. Las funciones de narrativa con IA envían al proveedor del modelo únicamente cifras desidentificadas y pre-agregadas, nunca filas de respuesta sin procesar.
FlexiSurvey se aloja en Amazon Web Services en los Estados Unidos (us-east-1), una única región, con copias de seguridad cifradas automatizadas y recuperación a un punto en el tiempo.
Estado actual de los controles y de las garantías. Hay documentos detallados disponibles bajo NDA para revisiones cualificadas.
| Área | Estado actual | Evidencia disponible |
|---|---|---|
| SOC 2 | Controles alineados con SOC 2 con monitoreo interno continuo; sin atestación Type II de terceros por el momento | Mapeo de controles bajo solicitud |
| Pruebas de penetración | Contacte a nuestro equipo de seguridad para conocer el estado actual | Resumen ejecutivo bajo NDA cuando esté disponible |
| GDPR | Medidas contractuales y operativas, no una certificación | DPA, aviso de privacidad, soporte de registros de tratamiento |
| Accesibilidad | Construido conforme a las pautas WCAG 2.1 AA con comprobaciones de accesibilidad automatizadas en CI; aún sin VPAT independiente | Declaración de accesibilidad bajo solicitud |
| Copias de seguridad y recuperación | Copias de seguridad cifradas automatizadas con recuperación a un punto en el tiempo | Resumen de copias de seguridad y recuperación bajo solicitud |
| Aislamiento por inquilino | Aplicado en la aplicación y mediante seguridad a nivel de fila de PostgreSQL en las tablas delimitadas por inquilino | Nota de arquitectura bajo solicitud |
¿Encontró un posible problema de seguridad? Escriba a nuestro equipo de seguridad y acusaremos recibo de su reporte y trabajaremos con usted en una solución.
support@spancorp.netPara procesos de adquisición o revisión de seguridad, contáctenos para obtener el mapeo de controles actual, la información sobre el manejo de datos y la evidencia disponible bajo NDA.