Saltar al contenido principal

Seguridad por diseño

rags.cc fue diseñado para empresas reguladas. Cada decisión arquitectónica privilegia la privacidad y la trazabilidad sobre la conveniencia.

Principios rectores

  • Privacidad verificable, no confianza ciega
  • Evidencia antes que elocuencia: cero respuestas sin citas
  • Aislamiento multi-tenant como defensa en profundidad
  • Reemplazabilidad del proveedor LLM
  • Trazabilidad forense reconstruible 6+ meses después
  • AWS-nativo de extremo a extremo

Controles técnicos

Cifrado

  • TLS 1.2+ end-to-end (HSTS en landing y admin)
  • S3 cifrado con KMS CMK por ambiente
  • Aurora PostgreSQL cifrada en reposo con KMS
  • Backups y snapshots cifrados con la misma CMK
  • Cifrado in-flight Aurora con SSL required
  • BYO KMS Key disponible en tier Enterprise

Aislamiento multi-tenant

  • Row-Level Security (RLS) en PostgreSQL — defensa en profundidad
  • Verificación de tenant_id en código aplicativo además de RLS
  • S3 keys con prefijo por tenant_id, IAM condicional
  • Tests automáticos cross-tenant como gate de merge en CI
  • Verificación pre-respuesta de que ningún chunk pertenece a otro tenant
  • Aislamiento físico (DB dedicada) disponible en Enterprise+

Red e infraestructura

  • VPC privada con subnets public/private-app/private-data
  • Bedrock vía VPC Endpoint privado (cero egress a internet)
  • S3, Secrets Manager, KMS, SQS, EventBridge, ECR via VPC endpoints
  • WAF managed rule set en CloudFront y ALB
  • Rate limiting por usuario y por IP
  • Security Groups con allow-list explícita entre servicios

Identidad y acceso

  • Amazon Cognito como Identity Provider único (ver ADR-007)
  • MFA TOTP obligatorio en roles tenant_admin y super_admin
  • Hardware keys WebAuthn en super_admin
  • SSO SAML 2.0 e OIDC para tier Business+
  • RBAC por workspace con 5 roles
  • JWT con custom:tenant_id inmutable, validación contra JWKS

Auditoría y forensics

  • Audit log append-only a nivel PostgreSQL (REVOKE UPDATE, DELETE)
  • Cada query registra usuario, chunks, modelo, tokens, costo, latencia
  • AWS CloudTrail org-wide para acciones de infraestructura
  • Retención configurable por tier (30 días Starter → 2+ años Enterprise)
  • Export firmado del audit log por tenant para auditorías externas
  • Verificación de integridad con hash chain estilo Merkle (fase 3)

Secretos y credenciales

  • AWS Secrets Manager con KMS (jamás en variables de entorno)
  • BYO-LLM credentials con IAM condicional por tenant path
  • Rotación automática de Aurora passwords cada 90 días
  • JWT signing key rotada manualmente cada 6 meses
  • Redacción automática de secretos en logs con regex
✓ Live

Lo que tienes hoy, en producción

Estos controles están implementados y activos desde el día uno de tu contrato. Sin letra pequeña, sin promesas futuras.

  • Cifrado en reposo con AWS KMS (S3, Aurora, backups, CloudWatch Logs)
  • TLS 1.2+ end-to-end con HSTS
  • Aislamiento multi-tenant con Row-Level Security en PostgreSQL
  • Verificación aplicativa cross-tenant adicional a la RLS
  • Tests automáticos de RLS cross-tenant como gate de merge
  • Audit log append-only a nivel PostgreSQL (ni un superadmin puede modificarlo)
  • Amazon Cognito como IdP con MFA TOTP obligatorio en roles admin
  • VPC privada con cero egress a internet (Bedrock vía VPC endpoint)
  • WAF managed rule set en CloudFront y ALB
  • Rate limiting por usuario y por IP
  • AWS CloudTrail registrando todas las acciones de infraestructura
  • GDPR-ready: export de datos, right to erasure en <30 días, retención configurable
  • BYO-LLM disponible en tier Business+ (rotación propia de credenciales)
  • Secrets Manager con KMS (cero secretos en código o variables de entorno)
  • Redacción automática de secretos en logs con regex
Roadmap

Nuestros compromisos de certificación

Certificaciones formales que rags.cc está persiguiendo activamente. Son compromisos públicos con fechas, no promesas vagas. Si tu organización requiere alguna de estas certificaciones antes de contratar, dínoslo y podemos discutir el roadmap bajo NDA.

ℹ️ Estas son certificaciones de rags.cc como empresa. Tu organización hereda los controles técnicos de la sección anterior desde el día uno, pero las auditorías formales (SOC 2, ISO) llegan según las fechas siguientes.

Q2 2026

en curso
  • DPA template firmable disponible bajo NDA
  • Penetration test externo por firma de seguridad independiente
  • Revisión legal de términos y privacidad por abogado especializado GDPR

Q4 2026

comprometido
  • Data residency EU (eu-west-1) opcional para clientes Business+
  • Tamper-evident audit log con hash chain estilo Merkle
  • Bug bounty program público

H1 2027

comprometido
  • SOC 2 Type I auditado por Big 4 o equivalente
  • BYO KMS keys por tenant
  • Certificación GDPR Article 42 (si aplica)

H2 2027+

planificado
  • SOC 2 Type II (tras 12 meses de operación post-Type I)
  • ISO 27001 si los contratos lo requieren
  • Despliegue en cuenta AWS dedicada por tenant Enterprise+

Reportar una vulnerabilidad

Si encuentras una vulnerabilidad de seguridad en rags.cc, por favor escríbenos directamente. Respondemos en menos de 24 horas hábiles. Tenemos disclosure policy responsable.

security@rags.cc