Centro de Confianza

Controles de Seguridad por Modelo de Despliegue

Cada despliegue de WeSoar — SaaS, nube privada, en las instalaciones o air-gapped — implementa seguridad en profundidad. Los controles escalan según su modelo de despliegue y requisitos regulatorios.

Cumplimiento y Certificaciones

WeSoar mantiene el cumplimiento con estándares internacionales y regionales relevantes para industrias reguladas en el GCC, Europa y Norteamérica.

ISO 27001:2022 — Sistema de gestión de seguridad de la información que cubre todas las operaciones, desarrollo y entornos de hosting de WeSoar.

SOC 2 Type II — Auditoría anual que cubre criterios de seguridad, disponibilidad y confidencialidad para la plataforma SaaS.

Marco de Ciberseguridad SAMA — Mapeo de controles disponible para instituciones financieras saudíes. WeSoar soporta dominios SAMA CSF incluyendo gestión de activos, control de acceso y seguridad de terceros.

Estándares de Seguridad de Información CBUAE — Documentación de alineación disponible para instituciones financieras de EAU.

GDPR — Acuerdo de procesamiento de datos disponible. Principios de privacidad por diseño integrados en la arquitectura del producto.

PDPL (Arabia Saudita) — El despliegue en las instalaciones de WeSoar garantiza el cumplimiento total de PDPL a través de la residencia de datos en el Reino.

Gestión de Identidad y Acceso

WeSoar implementa controles de identidad y acceso de nivel empresarial en todos los modelos de despliegue.

Single Sign-On: SAML 2.0 y OpenID Connect (OIDC) con soporte para Azure AD, Okta, OneLogin, PingFederate y ADFS.

Control de Acceso Basado en Roles: RBAC granular con permisos conscientes de la jerarquía organizacional. Plantillas de roles configurables para Admin de RRHH, HR Business Partner, Gerente, Empleado y Ejecutivo.

Autenticación Multifactor: Aplicación de MFA disponible para todos los tipos de usuario. Compatible con autenticadores TOTP y llaves de seguridad de hardware.

Registro de Auditoría: Log de auditoría inmutable de todas las acciones de usuario, acceso a datos, cambios de configuración e interacciones de IA. Exportable al SIEM del cliente vía syslog o API.

Respuesta a Incidentes y Gestión de Vulnerabilidades

Divulgación de Vulnerabilidades: WeSoar opera un programa de divulgación responsable. Los investigadores de seguridad pueden reportar vulnerabilidades a través de nuestra página de reporte de vulnerabilidades.

SLA de Respuesta a Incidentes: Incidentes críticos (P1) reconocidos en 1 hora, actualizaciones cada 2 horas, análisis de causa raíz en 5 días hábiles. Matriz de escalamiento basada en severidad disponible en el acuerdo de soporte empresarial.

Gestión de Parches: Parches de seguridad críticos desplegados en 24 horas para SaaS. Los clientes en las instalaciones reciben paquetes de parches de emergencia en 48 horas desde la divulgación del CVE.

Continuidad del Negocio y Recuperación ante Desastres

RTO SaaS: 4 horas. RPO: 1 hora. Arquitectura multi-AZ con failover automático.

Nube Privada: RTO/RPO alineado al SLA del cliente. Replicación entre regiones disponible.

En las Instalaciones: Guía de arquitectura DR proporcionada. WeSoar soporta topologías de despliegue activo-pasivo y activo-activo.

Respaldo: Respaldos diarios automatizados con retención de 30 días (SaaS/Nube Privada). Integración de respaldo en las instalaciones con la infraestructura de respaldo del cliente.

Lista de Subprocesadores

WeSoar SaaS utiliza un número limitado de subprocesadores para soporte de infraestructura y operaciones. Los despliegues en las instalaciones tienen cero dependencias de subprocesadores.

Subprocesadores actuales (SaaS): AWS (hosting de infraestructura, regiones EU-West-1 y ME-South-1), Cloudflare (CDN y protección DDoS), Datadog (monitoreo de infraestructura — sin PII), y SendGrid (correo transaccional). Lista completa de subprocesadores con ubicaciones de procesamiento de datos disponible bajo solicitud.