SEGURIDAD DE LA PLATAFORMA
Protegemos tus datos con altos estándares internacionales
En Webdox seguimos un conjunto de mejores prácticas y políticas para garantizar la protección y seguridad de tus datos.
Con la confianza de las mejores empresas
Cumplimiento asociado a la seguridad de la información
La ISO 27001 proporciona controles para un sistema de gestión integral de Seguridad de la Información (SGSI).
A-LIGN Compliance and Security, Inc. certifica que la organización opera un
Sistema de Gestión de Seguridad de la Información que cumple con los
requisitos de ISO/IEC 27001:2022.
Esta certificación respalda que aplicamos controles de seguridad rigurosos, procesos auditados y una cultura de protección continua en cada capa de nuestra operación.
En Webdox, la seguridad no es un complemento, es parte del ADN del producto. Esta certificación asegura a nuestros clientes que sus datos y contratos están protegidos con los más altos estándares del mercado global.
Cumplimiento asociado a la privacidad de la información
Webdox ha sido certificada por A-LIGN Compliance and Security, Inc. en ISO/IEC 27701:2019, la primera norma internacional que define cómo gestionar de forma estructurada y responsable la privacidad de la
información personal.
Esta certificación extiende nuestro sistema de gestión de seguridad (ISO 27001) e incorpora controles específicos para proteger datos personales conforme a marcos globales como el GDPR (Europa) y la LGPD (Brasil).
Además, nuestra declaración de aplicabilidad incorpora controles del estándar ISO/IEC 27018:2019, lo que refuerza aún más la protección de datos personales en entornos cloud.
Con esta certificación, Webdox entrega a sus clientes una plataforma CLM confiable y alineada con los más altos estándares de privacidad a nivel internacional, ideal para organizaciones que exigen cumplimiento normativo riguroso y protección proactiva de sus datos
Cumplimiento asociado a la gestión de sistemas de inteligencia artificial
La ISO/IEC 42001:2023 es la primera norma internacional que establece los requisitos para un sistema de gestión responsable y gobernado de inteligencia artificial (SGIA). Webdox ha sido certificado por A-LIGN Compliance and Security, Inc., validando que operamos un sistema conforme a esta norma, lo que refuerza nuestro compromiso con el uso ético, seguro y transparente de la IA.
El alcance de esta certificación aplica a los procesos y funcionalidades de inteligencia artificial desarrolladas por Webdox como proveedor, incluyendo módulos automatizados, motores de recomendación y flujos basados en aprendizaje automático dentro de nuestra plataforma Webdox CLM. Todo ello se implementa bajo principios como equidad, explicabilidad, trazabilidad y protección de datos personales.
Este sistema de gestión se complementa con controles de ISO/IEC 27001:2022 y ISO/IEC 27701:2019, lo que asegura una cobertura integral en seguridad de la información y privacidad en contextos de IA empresarial.
Cumplimiento asociado a la seguridad y confidencialidad de la información
SOC 2 Tipo II es un estándar internacionalmente reconocido que evalúa la eficacia operativa de los controles relacionados con la seguridad, confidencialidad, disponibilidad y privacidad de los sistemas. Webdox ha sido auditado por A-LIGN Compliance and Security, Inc., obteniendo el informe SOC 2 Tipo II, lo que demuestra que nuestros procesos cumplen con los criterios de confianza (Trust Services Criteria) definidos por la AICPA.
Esta certificación valida que Webdox ha implementado y sostenido controles rigurosos para proteger la información sensible de sus clientes a lo largo del tiempo, garantizando un entorno seguro y confiable. El marco SOC 2 refuerza nuestro cumplimiento con estándares globales como GDPR y CCPA, y refleja nuestro compromiso con la transparencia y la protección continua de los datos.
Seguridad aplicada a nuestra infraestructura en Google Cloud Platform
Webdox opera sobre Google Cloud Platform (GCP), una infraestructura de clase mundial que proporciona altos niveles de seguridad, disponibilidad y escalabilidad para todos nuestros servicios.
GCP cuenta con una arquitectura diseñada bajo el principio de defensa en profundidad, integrando controles avanzados de encriptación, autenticación, segmentación de red y monitoreo continuo. Esta plataforma cumple con estándares internacionales como ISO/IEC 27001, SOC 2, PCI-DSS y FedRAMP, lo que garantiza la protección de los datos y la resiliencia ante amenazas.
Nuestra infraestructura en GCP nos permite gestionar los entornos de forma segura, aislada y eficiente, asegurando que los datos de nuestros clientes estén protegidos contra accesos no autorizados, fugas de información y riesgos operacionales.
Arquitectura Robusta
Toda gran solución está respaldada por un gran partner estratégico.
Google Cloud Platform, junto con otros partners reconocidos, nos brinda todas las funcionalidades de seguridad que exige el mercado.
-
Webdox es Google Cloud Partner. La infraestructura y seguridad son heredadas de los servicios de Google, con alta disponibilidad en todas sus capas.
-
Cloudflare, GitLab y New Relic son algunos de los servicios que utilizamos para la creación, uso y monitoreo de Webdox.
-
Nuestros sistemas están diseñados para un SLO (Service Level Objective) del 99,99%, y los SLA (Service Level Agreement) generalmente se adaptan al 99,5%.
-
Backups automáticos cada 24 horas con una retención de 30 días, además de réplicas de conmutación por error que mejoran la Alta Disponibilidad.
-
Plan de Recuperación ante Desastres (DRP): RTO (Recovery Time Objective) de 2 horas por servicio y RPO (Recovery Point Objective) de hasta 24 horas.
-
Toda la metadata en reposo está encriptada utilizando AES-256.
-
Toda la metadata en tránsito se encripta mediante TLS 1.2 o 1.3.
-
Webdox cuenta con herramientas de monitoreo y generación de alertas ante eventos anómalos.
Desarrollo Seguro
A nivel aplicativo, Webdox cuenta con una serie de características de seguridad que podrás integrar con tu infraestructura tecnológica. Si deseas apoyo técnico, contamos con un equipo de especialistas que resolverá todas tus consultas.
Hoy en día, nos basamos en las buenas prácticas entregadas por OWASP (Top Ten) para tratar los riesgos más recurrentes, y además trabajamos directamente con hackers éticos para la mejora continua de la aplicación.
- Configuración de parámetros de sesión de usuarios: tiempo de inactividad, duración de sesión, formato de contraseñas.
- Gestión de acceso perimetral: se configura desde dónde se puede acceder y desde dónde no, a través de direcciones IP.
- Mecanismos de Single Sign-On vía SAML v2.
- Integración con LDAP o SAML para la gestión de usuarios.
- Integración de OAuth a través de API y apps, otorgando robustez en las integraciones que se puedan generar.
- Segundo factor de autenticación.
- Accesos y permisos controlados por roles asignados a los usuarios.
- Logs de auditoría con todas las acciones generadas por los usuarios.
- DevSecOps en todo el ciclo de desarrollo.
- Identificación de cada proceso interno (UUID), otorgando un mejor funcionamiento y auditoría de la plataforma.
Monitoreo y Deployment
En Webdox trabajamos arduamente en el descubrimiento de nuevas vulnerabilidades y su tratamiento. Por ello, contamos con servicios recurrentes y especializados de diferentes proveedores de seguridad para realizar pruebas de Pentesting y Ethical Hacking, trabajando en conjunto en la resolución de los hallazgos detectados. Esto nos permite seguir fortaleciendo nuestro servicio para cumplir con los niveles más exigentes del mercado.
Adicionalmente, nuestro equipo de Tecnología y Seguridad planifica anualmente pruebas de recuperación de respaldos, con el objetivo de garantizar los tiempos de continuidad operativa. Esto se complementa con los planes de Disaster Recovery Planning (DRP) para cada uno de los sistemas críticos. Estos planes, junto con las auditorías internas y externas programadas durante el año, alimentan nuestro proceso de mejora continua, tanto a nivel de procesos como del producto Webdox.
Preguntas frecuentes Infraestructura y Arquitectura
-
¿Cuáles son los servicios de nube utilizados?
Webdox es un SaaS cuya infraestructura se encuentra alojada en Google Cloud, usando servicios como CloudSQL y GKE, de los cuales se heredan todas las características de seguridad. Webdox es una plataforma que resuelve los desafíos asociados al manejo eficiente de contratos en grandes empresas. No requiere recursos en la nube por parte del cliente, ya que toda la infraestructura es provista como parte de la solución.
-
¿Cómo son los respaldos de datos en la nube?
El respaldo en la nube es realizado por el subprocesador Google Cloud, de acuerdo a nuestras pautas de frecuencia y alcance. Todos los procesos de respaldo cubren los distintos escenarios contemplados en nuestro plan de recuperación ante desastres. Se establece un RPO de 24 horas y un RTO de 2 horas por servicio. La información respaldada es completa (no incremental), por lo que no existen dependencias, y la recuperación está libre de riesgos.
-
¿El sistema permite escalar de manera automática?
Sí. El servicio está diseñado para un nivel de servicio del 99.9%, incluyendo la capacidad de escalar automáticamente sin afectar la calidad. El escalamiento se realiza tanto vertical como horizontalmente, según los umbrales definidos.
-
¿El sistema es escalable según el crecimiento del número de transacciones?
Sí. La infraestructura monitorea el consumo y la cantidad de transacciones realizadas, detectando si alguno excede los límites establecidos, y escala automáticamente.
-
¿El sistema permite operar en un modelo de alta disponibilidad?
Sí. Además de estar diseñado para un nivel de servicio del 99.9%, Webdox contempla planes de continuidad operativa y recuperación ante desastres, asegurando alta disponibilidad.
-
¿El sistema permite identificar si las transacciones son normales o anómalas, basado en reglas y parámetros?
Sí. Nuestro sistema de monitoreo utiliza inteligencia artificial para detectar comportamientos anómalos y generar alertas para los equipos responsables.
-
¿El sistema permite rastrear las actividades realizadas por un usuario?
Webdox mantiene un sistema de auditorías a nivel de software que puede ser supervisado por administradores o consumido vía API para integraciones con SIEM. Las acciones registradas incluyen autor, fecha, nombre de acción, entre otros.
-
¿El sistema permite volver al punto anterior de funcionamiento frente a una falla en el despliegue?
Sí. El servicio está diseñado con versionamiento, lo que permite revertir a una versión anterior cuando sea necesario.
-
¿El sistema posee un modelo de soporte con escalamientos definidos para resolución?
Sí. El procedimiento de soporte contempla escalamiento desde Atención al Usuario (Nivel 1), pasando por Soluciones Operativas (Nivel 2), hasta llegar al Equipo de Ingeniería (Nivel 3).
-
¿Cómo se asegura la integridad de los datos?
Webdox aplica mecanismos de fingerprint, que validan que la información no haya sido alterada en tránsito entre emisor y receptor. Los datos en reposo están protegidos mediante cifrado y capas de seguridad que impiden accesos no autorizados y validan la firma correcta.
-
¿La solución soporta integración continua, testing y automatización asociado al proceso de desarrollo?
Sí. El desarrollo incluye etapas de evaluación de código, detección de deficiencias técnicas o de seguridad, pruebas funcionales y automatización. Esto garantiza que el software desplegado cumpla con altos estándares de calidad.
-
¿Cómo es el procedimiento de control de cambios?
Contamos con una política de desarrollo seguro que contempla control de cambios dentro del ciclo de integración continua: solicitud de revisión de código, análisis de seguridad y posterior despliegue.
-
¿Cuál es su política de actualizaciones de mantenimiento (corrección de bugs, service packs, etc.)?
El equipo de tecnología gestiona los cambios de acuerdo a criterios de hardening y criticidad. A mayor criticidad, mayor prioridad tendrá la actualización.
Preguntas frecuentes de Seguridad
-
¿Cómo es la autenticación de API?
Webdox implementa autenticación por token mediante OAuth2, con expiración temporal. Las políticas internas definen límites y generan alertas en caso de actividades anómalas.
-
¿Cómo son los token de autenticación?
Los tokens son de alta complejidad, gestionados con expiración y fingerprints asociados a los usuarios. No almacenan información sensible.
-
¿Cómo se limitan peticiones (Throttling) para prevenir ataques DDoS y de fuerza bruta?
Webdox dispone de mecanismos cloud que evalúan intentos de accesos anómalos y los gestiona de acuerdo a su clasificación. Los excesos de peticiones son bloqueados por el WAF a través de Cloudflare y se genera auditoría con los puntos de conexión para la correspondiente comunicación con las autoridades en caso de que corresponda.
-
¿Se audita el diseño e implementación con tests unitarios/integración, test coverage y pruebas funcionales?
El proceso de desarrollo contempla revisión de código entre pares del equipo y por analizadores estáticos de código. Se evalúan desde las pautas de desarrollo seguro hasta el cumplimiento de mejores prácticas de desarrollo de software. Adicionalmente, se analiza el código en búsqueda de vulnerabilidades. Si el cambio cumple con todo lo anterior, inicia el proceso de aprobación e integración continua, donde se generan las imágenes correspondientes y se evalúa el cumplimiento del set de tests y de scanner de seguridad. Cuando el proceso de CI culmina, se genera una solicitud de promoción de release, en la que el Área de Calidad, da su ok y aprueban el despliegue. El sistema CICD facilita la opción de rollback a un estado anterior y seguro.
-
¿Cómo se gestiona el uso de controles criptográficos?
Nuestra Política de controles criptográficos cubre la protección de la información,
contemplando controles criptográficos, gestión de llaves, cifrado, etc. -
¿Cómo se gestionan las claves en términos de cifrado y encriptación?
Especificado en nuestra política de controles criptográficos en la sección de KMS. La
gestión de las llaves de cifrado debe utilizar software de gestión de llaves de cifrado
(KMS) que gestione el control de acceso de forma automática, que tenga
almacenamiento seguro y que tenga backup y rotación de llaves. -
¿Cómo son los tipos de cifrado para conexiones externas?
Al ser Webdox un SaaS, las conexiones tanto internas como externas son encriptadas con SSL a través de TLS 1.2 y sus versiones superiores. La seguridad es una prioridad principal para Webdox. Invertimos recursos y trabajamos para ofrecer una conexión HTTPS moderna de forma predeterminada en nuestros sitios web, servicios y productos.
-
Cifrado de la información
- Los datos del cliente se cifran en reposo con AES 256.
- Se pueden usar claves personalizadas para documentos alojados en Google Cloud Storage.
- Todos los datos en tránsito utilizan TLS 1.2 o superior, según compatibilidad del cliente.
- Correos electrónicos usan TLS cuando está habilitado.
- DKIM, SPF y DMARC están habilitados por defecto.
- La firma electrónica utiliza cifrado de sobres y HSM FIPS 140 Nivel 3. Las claves se rotan cada 30 a 90 días.
-
Privacidad de la Información
- Los datos del cliente siguen la política de cifrado de datos y están clasificados como RESTRINGIDOS, siendo el nivel de seguridad más alto de nuestra política de seguridad.
- Los servidores de aplicaciones pueden acceder a los datos del cliente solo si los tickets de usuario autorizados son válidos.
- Los empleados de Webdox no pueden acceder a los datos del cliente.
- La autorización explícita del cliente permite un acceso limitado a los agentes de soporte.
-
Disponibilidad de la Información
- Los datos del cliente se dividen entre sistemas independientes: documentos y metadatos.
- Diseño del sistema para un objetivo de nivel de servicio (SLO) del 99,99%.
- Los acuerdos de nivel de servicio (SLA) se adaptan. Generalmente 99,5%.
- Las copias de seguridad completas se ejecutan cada 24 horas y las réplicas de conmutación por error están en espera.
- RTO de 2 horas por servicio y RPO de 24 horas.
- Ejercicios de DRP y Recuperación de Data se realizan 2 veces al año.
