CONFIANZA Y SEGURIDAD

Lo que hacemos, lo que tenemos, lo que puede revisar.

TradeOS guarda sus datos operativos: pedidos, envíos, contratos, registros financieros, relaciones con proveedores, datos de clientes, comunicaciones en siete canales. Tratamos esa responsabilidad como el precio de entrada para una plataforma de comercio. No es una posición de marketing. Es una base. Esta página documenta lo que hemos construido, para qué estamos certificados, a qué nos comprometemos contractualmente, y qué puede revisar su equipo de forma independiente.

Solicitar el paquete de revisión de seguridad Ir a las preguntas de InfoSec

Auditoría · anual

SOC 2 Type IIinforme completo bajo NDA · resumen ejecutivo público

ISMS · ciclo de 3 años

ISO 27001:2022todas las operaciones de la plataforma · vigilancia anual

Privacidad · sujetos de la UE

GDPR + DPAestándar en Business+ · personalizado en Enterprise

Fiabilidad

99.95% tiempo de actividadSLA · status.edma.trade · historial público

CERTIFICADO

Auditado. Documentado. Disponible bajo NDA.

Cada afirmación de esta página corresponde a un artefacto específico que su equipo puede revisar. Los artefactos públicos se descargan desde el enlace de abajo. Los artefactos protegidos por NDA se entregan en 2 días hábiles tras un NDA estándar firmado.

SOC 2
TYPE II

Vigente

SOC 2 Type II

AlcanceDatos operativos, datos de clientes, infraestructura de IA, gestión de identidades

Firma auditora[Por determinar — Big 4 / Schellman]

PeriodoAnual · ventana operativa de 12 meses

DisponibleInforme completo bajo NDA · resumen ejecutivo públicamente

Próxima renovación[Por determinar — Mes AAAA]

Criterios de servicios de confianza: Seguridad, Disponibilidad, Confidencialidad. Integridad del Procesamiento y Privacidad se añaden en la próxima renovación.

ISO
27001
:2022

Vigente

ISO 27001:2022

AlcanceISMS que cubre todas las operaciones de la plataforma: desarrollo, infraestructura, soporte, corporativo

Organismo cert.[Por determinar]

PeriodoCiclo de 3 años · auditorías de vigilancia anuales

DisponibleCertificado públicamente · SoA bajo NDA

Próx. vigilancia[Por determinar — Mes AAAA]

La Declaración de Aplicabilidad documenta los 93 controles del Anexo A en alcance; disponible bajo NDA estándar junto al informe completo SOC 2.

GDPR
· EU ·

Conforme

Cumplimiento del GDPR

AlcanceTodos los sujetos de datos de la UE, incluidos los usuarios finales clientes en espacios de trabajo de operadores de la UE

DocumentosDPA · Registro de Actividades de Tratamiento (ROPA) · plantilla DPIA

InclusiónDPA estándar en contratos Business+ · DPA personalizado negociable en Enterprise

DPO[Por determinar — Nombre + correo]

TransferenciaSCC · aprobadas por la ComEur · conformes con Schrems II

EDMA actúa como Encargado del Tratamiento para los datos suministrados por el cliente; Responsable del Tratamiento solo para los datos de la cuenta de usuario.

HIPAA
· BAA ·

Condicional

HIPAA (BAA)

AlcanceClientes sanitarios que manejan Información de Salud Protegida (PHI)

NivelFirma de BAA en Business+ · clientes sanitarios cualificados

CondicionesEl cliente debe operar como Covered Entity o Business Associate bajo HIPAA

Manejo de PHICifrado + acceso de mínimo necesario + retención de registro de auditoría de 6 años

No aplicable a espacios de trabajo no sanitarios. Los términos del BAA son un anexo al MSA estándar, no un contrato separado.

En la hoja de ruta de cumplimiento 2026–2027: PCI-DSS Level 1 (flujos de pago), ISO 27701 (extensión de gestión de privacidad de la 27001), expansión del alcance de SOC 2 Type II a los niveles de despliegue Soberano y Aislado. Progreso público trimestral en la sala de prensa.

DÓNDE VIVEN SUS DATOS

Residencia geográfica de datos por nivel de despliegue.

Tres regiones estándar para clientes Team y Business. Despliegue Soberano de un solo inquilino en cualquiera de ~25 regiones cloud en Enterprise. Despliegue aislado para clientes cuyos datos no pueden salir de su propia infraestructura.

MAPA DE RESIDENCIA · COMPORTAMIENTO POR DEFECTO · EN REGIÓN3 ESTÁNDAR + 25 SOBERANAS

R1US — US-East · VirginiaPor defecto

Por defecto para Starter, Solo, Team. SCC en vigor para sujetos de datos de la UE cuando aplica.

SOC 2ISO 27001GDPR · SCCsHIPAA-eligible

R2UE — EU-Central · FráncfortBusiness+

GDPR nativo: sin SCC necesarias para sujetos de datos de la UE. Conforme con Schrems II. Ley local: BDSG alemán + GDPR de la UE como primarios.

SOC 2ISO 27001GDPR nativoSchrems II

R3APAC — Southeast · SingapurBusiness+

Compatibilidad con la PDPA de Singapur y la PDPO de Hong Kong. Soporta los requisitos de residencia de datos del Sudeste Asiático.

SOC 2ISO 27001PDPA · SGPDPO · HK

SSoberano — cualquier región AWS / GCP / AzureEnterprise

VPC de un solo inquilino en la región especificada por el cliente (~25 a nivel global). Hereda el régimen de cumplimiento de la región más claves de cifrado gestionadas por el cliente.

25+ regionesCMK / BYOKAislamiento de VPC

AGAislado — infraestructura del clienteEnterprise

Totalmente autoalojado. Ningún dato sale del entorno del cliente. Modelo local Gemma 4 E4B incluido; la IA comercial requiere claves provisionadas por el cliente.

AutoalojadoIA local · GemmaApto para defensa

El movimiento de datos entre regiones es opcional y auditable. Comportamiento por defecto: los datos permanecen en la región seleccionada. Copia de seguridad y recuperación ante desastres: solo dentro de la región, salvo que el cliente solicite explícitamente la DR entre regiones por escrito como anexo al contrato.

CIFRADO

En reposo, en tránsito, en uso. De extremo a extremo.

Algoritmos específicos, jerarquías de claves específicas, atestación de cómputo específica. Claves gestionadas por el cliente en Enterprise: rote o destruya las claves y EDMA ya no podrá descifrar sus datos, incluso para nuestra propia respuesta a incidentes.

[01]

En reposo

Datos en reposo

AES-256-GCM para todos los datos almacenados: bases de datos, almacenamiento de objetos, copias de seguridad.
Las claves de cifrado por inquilino imponen el aislamiento a nivel de espacio de trabajo; sin claves compartidas entre inquilinos.
KMS jerárquico: las claves maestras del inquilino derivan claves de cifrado de datos; las claves raíz nunca salen del HSM.
El cifrado de las copias de seguridad usa una jerarquía de claves separada; la restauración requiere autorización explícita del cliente.
Los registros de auditoría se cifran con una tercera familia de claves: la retención se impone criptográficamente, no solo por control de acceso.

[02]

En tránsito

Datos en tránsito

TLS 1.3 para todas las comunicaciones externas, sin retroceso a TLS 1.2.
Fijación de certificados (certificate pinning) en las aplicaciones móviles de iOS y Android.
mTLS (TLS mutuo) para la autenticación de servicio a servicio dentro de la plataforma.
Las solicitudes de API se autentican vía JWT firmado con rotación de 1 hora y reclamaciones acotadas por audiencia.
Las conexiones WebSocket heredan el mismo estándar TLS 1.3; sin retroceso a texto plano.

[03]

En uso · cómputo

Datos en uso

SaaS estándar: atestación TPM en el plano de control; cargas de trabajo sensibles en entornos de ejecución atestados.
Nivel Soberano: computación confidencial en AWS Nitro Enclaves o GCP Confidential Computing; ni siquiera los ingenieros de EDMA pueden acceder a los datos descifrados.
Nivel aislado: las claves de cifrado y las operaciones de descifrado permanecen enteramente en la infraestructura del cliente.
Puesta a cero de la memoria al apagar el enclave; sin volcado a disco de la memoria de trabajo en texto plano.

Enterprise · soberanía de clavesBYOK y HYOK soportados

Bring Your Own Key y Hold Your Own Key soportados en los principales gestores de claves. Puede revocar el acceso de EDMA a sus datos en cualquier momento rotando o destruyendo la clave de envoltura. Tras la revocación, EDMA no puede descifrar: ni para soporte, ni para respuesta a incidentes, ni por ningún motivo.

SOPORTADOS· AWS KMS· Azure Key Vault· GCP Cloud KMS· HashiCorp Vault

CONTROL DE ACCESO

Quién puede hacer qué, con visibilidad de auditoría completa.

Autenticación, autorización y auditoría son tres sistemas separados con tres garantías separadas. RBAC con granularidad a nivel de campo. Registros de auditoría a prueba de manipulaciones con encadenamiento criptográfico. Exportación compatible con SIEM en Business+.

Autenticación

[01 / 03]

Cómo inician sesión los usuarios.

Correo + contraseña con TOTP 2FA Starter · Solo
SSO vía SAML 2.0 y OIDC Business+
SCIM 2.0 para aprovisionamiento y desaprovisionamiento de usuarios Business+
2FA obligatorio imponible por rol Business+
Sin contraseña vía passkeys / WebAuthn — recomendado sobre las contraseñas en cada nivel

IdP probados en producción

OktaAzure ADGoogle WorkspaceAuth0OneLoginDuoPing IdentityJumpCloud

Autorización

[02 / 03]

Quién puede hacer qué.

RBAC con 6 roles por defecto + roles personalizados ilimitados
Granularidad de permisos: sección · acción · campo
Acotado por espacio de trabajo — los operadores multiinquilino obtienen conjuntos de permisos por espacio de trabajo
Acceso con límite de tiempo — roles temporales con caducidad explícita
Gestión de acceso privilegiado para escaladas de soporte
Elevación justo a tiempo (JIT) para operaciones de alto riesgo
Flujos de aprobación para acciones sensibles, configurables por espacio de trabajo

Roles por defecto

PropietarioAdministradorOperadorFinanzasVisorSocio

Registro de auditoría

[03 / 03]

Cada evento, registrado.

Eventos de autenticación: éxito, fallo, ubicación, dispositivo
Decisiones de autorización: quién, qué, cuándo, concedido/denegado, base
Acceso a datos registrado a nivel de fila para entidades sensibles: pedidos, contratos, registros financieros
Registro de auditoría a prueba de manipulaciones con encadenamiento criptográfico — cada entrada enlazada por hash a su predecesora
Formatos de exportación: CEF, LEEF, JSON — compatibles con SIEM Business+

Destinos SIEM validados

SplunkDatadogSumo LogicElastic SIEMSentinel

Starter

90días

retención del registro de auditoría

Solo

180días

retención del registro de auditoría

Business

1año

exportación SIEM disponible

Enterprise

Unlimitedaños

transmisión SIEM · en vivo

Ilimitada

retención definida por el cliente

QUIÉN MÁS MANEJA SUS DATOS

Divulgación completa de subprocesadores. Actualizada trimestralmente.

Cada tercero que toca datos del operador está listado abajo. Propósito, datos accedidos, ubicación, postura de cumplimiento. Los cambios materiales activan un aviso previo de 30 días. Los clientes Enterprise conservan el derecho de objeción bajo DPA personalizado.

Subprocesador	Propósito	Datos accedidos	Ubicación	Cumplimiento
Amazon Web ServicesAWS · infra. primaria	Alojamiento de infraestructura: cómputo, almacenamiento, bases de datos, redes	Todos los datos operativos	US · EU · APAC según la región del cliente	SOC 2ISO 27001HIPAA-eligibleGDPR
AnthropicClaude · IA primaria	Inferencia de IA: modelo primario para Atlas, IA Legal, IA de Contabilidad	Solo prompts de IA iniciados por el operador	US	SOC 2GDPRZero Data Retention
OpenAIGPT · IA de respaldo	Inferencia de IA: respaldo / capacidades especializadas	Solo prompts de IA iniciados por el operador	US	SOC 2GDPRZero Data Retention
GoogleGemini · IA de respaldo	Inferencia de IA: respaldo / enrutamiento en región de la UE para Atlas	Solo prompts de IA iniciados por el operador	US · EU	SOC 2ISO 27001GDPR
StripePagos · facturación	Procesamiento de pagos: facturación de suscripciones y liquidación del Marketplace	Solo datos de facturación · sin datos operativos	US · EU	PCI-DSS L1SOC 2GDPR
Resend / Amazon SESCorreo transaccional	Entrega de correo transaccional	Contenido del correo + dirección del destinatario	US · EU	SOC 2GDPR
TwilioSMS · WhatsApp Business	Mensajería por SMS + WhatsApp Business: comunicaciones con contrapartes	Contenido del mensaje + contacto de la contraparte	EE. UU. · regional	SOC 2GDPR
MapboxGeocodificación · mapas	Geocodificación + teselas de mapa para el seguimiento de envíos	Cadenas de dirección para el seguimiento de envíos	US	SOC 2GDPR
CloudflareCDN · DDoS · WAF	CDN, protección DDoS, cortafuegos de aplicaciones web	Metadatos de solicitudes HTTP · sin retención de carga útil	Borde global	SOC 2ISO 27001GDPR
SentryMonitorización de errores	Monitorización de errores y trazas de rendimiento	Trazas de pila de errores · PII depurada en origen	US · EU	SOC 2GDPR

Política de notificación

Los clientes reciben 30 días de aviso previo antes de cualquier cambio de subprocesador. Los cambios materiales —nueva región, nuevo tipo de dato, nuevo régimen de cumplimiento— activan reconsentimiento explícito para los clientes Enterprise bajo DPA personalizado. La lista actual también se publica como feed JSON versionado en edma.trade/security/subprocessors.json para herramientas de automatización de cumplimiento.

Derecho a objetar

Los clientes pueden objetar a subprocesadores específicos. EDMA trabajará para encontrar una alternativa comparable o, cuando no exista una alternativa viable, proporcionar motivos de terminación sin penalización. Este derecho está enumerado en el DPA estándar y sobrevive a la renovación del contrato.

PRUEBAS ADVERSARIALES

Probado anualmente por terceros. Continuamente por nosotros mismos.

Dos perímetros: pruebas de penetración de terceros para amplitud y validación externa, y pruebas internas continuas para profundidad y velocidad. Programa de recompensas por errores que escala junto al GA. Los clientes Enterprise pueden probar su propio despliegue.

Pen test de terceros

anual

Pruebas de penetración externas

Frecuencia: mínimo anual · bajo demanda para cambios mayores de arquitectura
Alcance: app web, superficie de API, infraestructura, simulación de ingeniería social
Metodología: OWASP ASVS L2 mínimo · OWASP Top 10 + API Top 10
Firmas: rotadas entre [Por determinar — NCC Group / Bishop Fox / Trail of Bits / Praetorian]

última prueba[Por determinar — Mes AAAA]

disponibilidadresumen ejec. público · completo bajo NDA

Interna continua

cada commit

Pruebas continuas en CI

SAST — pruebas estáticas de seguridad de aplicaciones · cada commit
SCA — análisis de composición de software · cada actualización de dependencia
DAST — pruebas dinámicas · cada noche
Escaneo de imágenes de contenedor · cada build
IaC escaneo · cada plan de Terraform
Escaneo de secretos · barridos pre-commit + post-merge

SLA · P1parche en 24 h

SLA · P2 / P37 d / 30 d

Recompensas por errores

en desarrollo

Recompensas públicas por errores · T4 2026

Lanzamiento: junto al GA en T4 2026
Proveedor: [Por determinar — HackerOne / Bugcrowd]
Alcance: endpoints de producción y aplicaciones orientadas al cliente
Rango de recompensa: $250 – $10,000 según gravedad e impacto
Prelanzamiento: beta privada solo por invitación con [Por determinar — número] investigadores

puerto segurodisclose.io estándar

pagossin topes · según gravedad

Liderada por el cliente

enterprise

Pruebe su propio despliegue

Los clientes Enterprise pueden realizar pruebas de penetración independientes en su despliegue VPC dedicado con programación previa.

El alcance de las pruebas, la metodología y la divulgación de hallazgos se rigen por un acuerdo de pruebas separado. Los despliegues Soberano y Aislado permiten pruebas controladas por el cliente sin requisitos de coordinación — es su infraestructura, pruébela en su horario.

aviso7 días (VPC) · ninguno (AG)

solicitudvía CSM

CUANDO ALGO SALE MAL

Manuales documentados. Notificado en 72 horas.

Marco NIST SP 800-61. Rotación de comandante de incidentes 24/7. Actualizaciones de la página de estado en 15 minutos de la confirmación, notificación completa al cliente en 24 horas para brechas confirmadas que afecten a sus datos, informe público posincidente en 5 días hábiles.

Paso 01 · Detectar

Detección

Monitorización SOC 24/7 — centro de operaciones de seguridad en tres husos horarios
patrones de autenticación, autorización y acceso a datosDetección de anomalías en
Feeds de inteligencia de amenazas: [proveedores por determinar]
Incidentes reportados por clientes vía canal dedicado, que evita la cola general de soporte
SLA de escalado interno: P1 5 min · P2 30 min · P3 4 h

Paso 02 · Responder

Respuesta

Manuales documentados bajo el marco NIST SP 800-61
Rotación de comandante de incidentes 24/7 — individuo nombrado de guardia, no una bandeja compartida
Proceso CERR: Contención · Erradicación · Recuperación · Lecciones aprendidas
Actualizaciones de la página de estado en 15 minutos de la confirmación
Notificación completa en 24 horas · informe posincidente en 5 días hábiles

Paso 03 · Notificar

Notificación de brecha

Notificación al cliente en 72 horas de la brecha confirmada que afecte a sus datos — según el Artículo 33 del GDPR
Notificación regulatoria según los requisitos de la jurisdicción aplicable
Notificación a los sujetos de datos afectados coordinada con el cliente según su DPA y la ley aplicable
Divulgación pública coordinada con los clientes y reguladores afectados
página de estado en 7 díasBrechas materiales divulgadas públicamente vía de la confirmación

SLA de notificación

Brecha confirmada → cliente notificado

T+0incidente confirmado por el comandante de IR00:00

T+15mentrada en la página de estado creada00:15

T+24hnotificación completa al cliente (correo + portal)24:00

T+72hnotificación regulatoria · Artículo 33 del GDPR72:00

T+5dinforme posincidente (directo al cliente)120:00

T+30dinforme final · causa raíz + remediación720:00

Todos los sistemas operativosIncidentes materiales divulgados en status.edma.trade — desde el lanzamiento beta de mayo de 2026: [X] incidentes materiales · historial completo público.

Abrir página de estado →

SU DERECHO A VERIFICAR

Verificación independiente: por usted o sus auditores.

La confianza sin verificación es una afirmación de marketing. Cada cliente Business y Enterprise recibe el conjunto de documentación de abajo. Los clientes Enterprise también pueden auditar in situ, transmitir registros de auditoría a su propio SIEM, y responder a cuestionarios de seguridad de proveedor con un SLA de 5 días.

A · Revisión de documentación

Business+

Paquete de documentación estándar

Todos los clientes Business y Enterprise reciben:

Informe anual SOC 2 Type II (bajo NDA)
Certificado ISO 27001 y Declaración de Aplicabilidad
Prueba de penetración: resumen ejecutivo (informe completo bajo NDA)
Lista de subprocesadores actualizada trimestralmente · feed JSON disponible
Documentación de cifrado y gestión de claves
Manuales de respuesta a incidentes (redactados donde sea necesario)

B · Auditorías in situ

Enterprise

Audite nuestras operaciones directamente

Los clientes Enterprise pueden realizar auditorías in situ anualmente con 60 días de aviso previo. El alcance cubre controles de seguridad de la información, gestión de subprocesadores, procedimientos de respuesta a incidentes, y gestión de claves de cifrado.

Coste: a cargo del cliente para auditorías por encima de la revisión de documentación estándar. EDMA proporciona espacio de trabajo, personal nombrado y acceso a documentos. Los hallazgos permanecen confidenciales para el cliente bajo el acuerdo de auditoría.

C · Monitorización continua

Enterprise

Transmita eventos a su pila

Los clientes Enterprise pueden solicitar acceso de monitorización continua:

Integración SIEM de registros de auditoría — Splunk, Datadog, Sumo Logic, Elastic, Sentinel
Transmisión de eventos de seguridad en tiempo real vía tópico de Kafka o webhook
Acceso a API controlado por el cliente para herramientas de automatización de cumplimiento
Configurado por contrato; límites de tasa y tipos de evento negociables

D · Cuestionarios de proveedor

Business+

Evaluaciones de seguridad — SIG, CAIQ, personalizadas

Las evaluaciones de seguridad estándar de clientes — SIG, CAIQ, cuestionarios de seguridad de proveedor, plantillas enterprise personalizadas— se responden en 5 días hábiles para clientes Business+.

Actualización de respuestas anual incluida en el alcance del CSM. Bibliotecas de respuestas precompletadas disponibles bajo petición para marcos comunes (SIG Core, CAIQ v4, NIST CSF 2.0).

PREGUNTAS ESPECÍFICAS

Lo que los equipos de InfoSec realmente preguntan.

12 preguntas agrupadas en 4 temas. Haga clic en un grupo para expandir. Las respuestas son factuales, concisas, y enlazan a la sección específica de arriba donde se documenta el control subyacente.

Grupo 01Propiedad y control de los datos3 preguntas

Q · 01

¿Quién es dueño de nuestros datos?

Usted. Siempre. EDMA procesa los datos en su nombre como Encargado del Tratamiento según la terminología del GDPR. Sus datos son exportables en formatos CSV / JSON en cualquier momento. Tras la terminación del contrato, tiene 90 días para exportar; borramos en los 30 días posteriores a la fecha límite de borrado. El esquema de exportación está documentado y es estable.

Q · 02

¿Pueden los empleados de EDMA acceder a nuestros datos?

Solo bajo tres condiciones específicas: (1) ha abierto un caso de soporte y ha concedido acceso; (2) respuesta a incidente de emergencia que requiere acceso a datos —auditada, con límite de tiempo, notificada al cliente—; (3) orden judicial o proceso legal —resistimos y le notificamos salvo que esté legalmente prohibido—. Las operaciones estándar no requieren acceso de EDMA a los datos del cliente. Todos los eventos de acceso se escriben en su registro de auditoría.

Q · 03

¿Qué pasa si EDMA es adquirida o cierra?

Adquisición: las cláusulas de protección de datos del cliente sobreviven a la adquisición; el nuevo propietario hereda los términos del DPA. Cierre: 12 meses de aviso previo comprometidos contractualmente a los clientes Enterprise con asistencia de migración de datos; 6 meses de aviso para todos los demás niveles. El depósito en garantía de código abierto de los formatos de datos críticos asegura que la migración sea técnicamente viable incluso si el personal de EDMA no está disponible.

Grupo 02IA y privacidad de datos3 preguntas

Q · 04

¿Se usan nuestros datos para entrenar modelos de IA?

No. EDMA mantiene contratos de Retención Cero de Datos (ZDR) con Anthropic (Claude), OpenAI y Google (Gemini). Sus prompts y respuestas de IA no son retenidos por los proveedores más allá de la duración de la llamada a la API y no se usan para entrenamiento. El Gemma 4 E4B local —nuestro suelo de resiliencia— corre en infraestructura controlada por EDMA, o por usted en el despliegue aislado.

Q · 05

¿Podemos usar nuestras propias claves de proveedor de IA?

Sí, en el nivel Enterprise. Bring Your Own Key (BYOK) soportado para Anthropic, OpenAI, Google, y endpoints de inferencia de LLM alojados por el cliente aprobados. Los prompts de IA se enrutan a través de su cuenta de proveedor, facturados directamente a usted. EDMA nunca ve la clave de API: vive en su KMS y se envuelve en cada solicitud.

Q · 06

¿Y las alucinaciones de IA en contextos financieros o legales?

Los productos de IA que operan en contextos financieros o legales (IA Legal, IA de Contabilidad) incluyen puntuación de confianza, flujos de revisión humana para acciones de alto riesgo, y cadenas de auditoría para cada artefacto generado por IA. Las salidas están en modo borrador por defecto; se requiere aprobación humana antes de enviar o confirmar. La cadena de auditoría es el registro de quién revisó qué, cuándo y sobre qué base.

Grupo 03Seguridad operativa3 preguntas

Q · 07

¿Cómo se almacenan las credenciales de usuario?

bcrypt con factor de coste 12 (adaptativo). El restablecimiento de contraseña usa tokens de un solo uso con límite de tiempo. Passkeys (WebAuthn) recomendadas sobre las contraseñas en cada nivel. SSO recomendado sobre las credenciales locales en el nivel Business+: las contraseñas se desactivan a nivel de espacio de trabajo cuando se impone SSO.

Q · 08

¿Cómo manejan el acceso administrativo a producción?

Se requiere elevación justo a tiempo (JIT) para todo acceso a producción: sin acceso permanente. Aprobación de varias personas para cambios en producción que afecten a datos de clientes. Sesiones grabadas para todo acceso a la base de datos de producción. Revisiones de acceso trimestrales. Gestión de Acceso Privilegiado (PAM) vía [proveedor por determinar].

Q · 09

¿Cuál es su ciclo de vida de desarrollo de software seguro?

Modelado de amenazas en la fase de diseño. Revisión de código obligatoria por 2+ ingenieros. Pruebas de seguridad automatizadas (SAST, SCA, DAST) en CI. Vulnerabilidades de dependencias rastreadas y parcheadas dentro del SLA: P1 24 h · P2 7 d · P3 30 d. Secretos nunca en el código fuente: escaneados pre-commit y post-merge. Formación anual de codificación segura para todos los ingenieros.

Grupo 04Detalles de cumplimiento3 preguntas

Q · 10

¿Cumplen con el GDPR?

Sí. EDMA actúa como Encargado del Tratamiento para los datos suministrados por el cliente (o Responsable del Tratamiento para los datos de la cuenta de usuario). DPA estándar incluido en contratos Business+. DPA específicos del cliente negociados en el nivel Enterprise. Las Solicitudes de Acceso del Sujeto de Datos (DSAR) se soportan vía flujo en el producto con un SLA de respuesta de 30 días.

Q · 11

¿Soportan la residencia de datos para [país específico]?

Regiones estándar: US (Virginia), UE (Fráncfort), APAC (Singapur). El nivel Soberano (Enterprise) soporta cualquier región de AWS, GCP o Azure: aproximadamente 25 regiones a nivel global. Los requisitos específicos de país (localización de datos de Rusia, China, India) requieren un despliegue Enterprise personalizado; contacte con ventas para acotarlo.

Q · 12

¿Cuál es el SLA de notificación de brecha?

Notificación al cliente en 72 horas de la brecha confirmada que afecte a sus datos, según el Artículo 33 del GDPR. Las brechas materiales se divulgan públicamente vía página de estado en 7 días de la confirmación. Informe posincidente detallado en 30 días. Tiempos de notificación específicos del cliente disponibles bajo contratos Enterprise personalizados (p. ej., notificación de 24 horas para clientes financieros regulados).

SIGUIENTE PASO

Obtenga el paquete de revisión de seguridad.

Tres vías. Elija la que encaje con dónde está su evaluación: lectura preliminar, análisis profundo con NDA firmado, o conversación directa con ingeniería de seguridad.

Vía APÚBLICO · SIN NDA

Paquete de revisión de autoservicio

Artefactos públicos disponibles sin NDA. Léalo de principio a fin en 30 minutos. Adecuado para la evaluación de proveedor en etapa temprana.

Resumen ejecutivo de SOC 2 Type II

Certificado ISO 27001:2022

Lista de subprocesadores · trimestre actual

Resumen ejecutivo de la prueba de penetración

Plantilla de DPA · formato estándar

Descargar paquete PDF →

Vía BPROTEGIDO POR NDA

Paquete de revisión protegido por NDA

Activa un NDA mutuo estándar vía DocuSign. Entregado en 2 días hábiles de la firma. Adecuado para compras activas.

Informe completo de SOC 2 Type II

Declaración de Aplicabilidad ISO 27001

Informes completos de prueba de penetración

Plantilla de DPA personalizado

Manuales de respuesta a incidentes (redactados)

Solicitar paquete con NDA →

Vía CENTERPRISE

Consulta con ingeniería de seguridad

Llamada de 60 minutos con el equipo de ingeniería de seguridad de EDMA. Adecuada para requisitos complejos y acotación de despliegues personalizados.

Revisión de la arquitectura de despliegue

Acotación de requisitos personalizados

Recorrido de opciones BYOK / HYOK

Alcance y cadencia de auditoría

Cumplimiento específico regulatorio

Reservar consulta de 60 min →

Contacto directo

[email protected]

Para divulgación coordinada de vulnerabilidades, consultas urgentes de seguridad, o cualquier cosa que necesite evitar ventas generales. Monitorizado 24/7 por el ingeniero de seguridad de guardia. Cifre las comunicaciones sensibles usando la clave PGP que se muestra a la derecha.

Clave PGP · [email protected]

HUELLA · [POR DETERMINAR — 40 CAR. HEX]-----BEGIN PGP PUBLIC KEY BLOCK----- Version: edma-trade-os v2026.05 [ Public key block — published at edma.trade/.well-known/security.txt ] [ TBD: full ASCII-armored block to be inserted here at production ] [ TBD: key rotation policy — annual, with 90-day overlap ] -----END PGP PUBLIC KEY BLOCK-----