LogoClimbVista
ES/
EN

Visión de seguridad

Cómo ClimbVista protege tus datos y los de tus clientes. Una página — para procurement y revisiones de seguridad.

Última actualización: 2026-06-21

Hosting y región

La aplicación corre en Vercel con región principal São Paulo (gru1). La base de datos es Neon (PostgreSQL) en la misma región. Los datos no salen de Brasil / Chile en operación normal, excepto hacia subencargados contratados.

Cifrado

TLS 1.3 en tránsito. En reposo, AES-256 gestionado por el proveedor (Vercel, Neon, Cloudflare KV). Las conexiones a la base de datos están cifradas (SSL/TLS) con credenciales por entorno.

Autenticación y autorización

El control de acceso se aplica del lado del servidor en cada petición. El acceso de los equipos del cliente se rige por roles por sitio (ANALYST / EDITOR / ADMIN) aplicados en todas las mutaciones. API pública: tokens Bearer almacenados como hashes SHA-256; scopes por clave; límite de 60 peticiones por minuto por clave; revocación y expiración soportadas.

Registro de auditoría

Toda acción privilegiada (login, creación/revocación de API key, cambios de webhook, disparo de crawl, toggle de edge policy, cambios de miembros de equipo) se registra en un registro de actividad y auditoría append-only con actor, IP, user-agent y metadata. Retenido según requerimientos del cliente.

Monitoreo y disponibilidad

Cada dominio Enterprise se sondea cada 5 minutos. Agregados diarios de disponibilidad disponibles para el cliente vía panel admin, API pública y página pública de estado opcional en /status/<domain>.

Secrets y gestión de claves

Secrets almacenados en variables de entorno de Vercel, con scope por entorno. Los secretos de firma de webhooks y los hashes de API key se saltean y nunca se devuelven vía API después de la creación.

Subencargados

Vercel (hosting), Neon (PostgreSQL), Cloudflare (DNS + edge KV), Fly.io (renderizado de páginas bajo demanda), OpenAI (análisis IA — efímero, no usado para entrenamiento), Resend (correo transaccional). 30 días de aviso para cualquier adición.

Backups y recuperación ante desastres

Neon point-in-time-recovery (7 días). Migraciones de esquema versionadas en código. Políticas edge distribuidas vía Cloudflare KV — continúan sirviendo si el origen está caído.

Gestión de vulnerabilidades

Las dependencias y los avisos de seguridad se monitorean y parchean de forma oportuna, priorizando los problemas CRITICAL / HIGH. Se pueden coordinar pruebas de penetración independientes para procurement Enterprise a solicitud.

Personal

El acceso a datos de producción se limita a personal autorizado bajo confidencialidad por escrito, con privilegios mínimos.

Solicitudes de titulares y reguladores

Entrada única: info@climbvista.com. Asistimos al Responsable en 30 días, más rápido para solicitudes de reguladores.