Documento Técnico-Legal · Enterprise Trust
Seguridad y Cumplimiento
Última actualización: Marzo 2026
Versión 1.0
ContinuumAI for Education
AWS Multi-AZ
TLS 1.3
AES-256
RLS PostgreSQL
SOC 2 (AWS)
PCI-DSS
Filosofía de seguridad: En ContinuumAI for Education, la seguridad no es una función
adicional. Es un principio de arquitectura. Cada decisión técnica y de diseño parte de la premisa de que
procesamos datos de menores de edad en entornos institucionales regulados.
01 Arquitectura de Seguridad en Capas
La plataforma implementa un modelo de defensa en profundidad con controles en cada capa de la
arquitectura:
Capa 1 — Perímetro y Red
- AWS WAF con reglas contra SQLi, XSS, CSRF y ataques de fuerza bruta.
- AWS Shield Standard para protección contra DDoS.
- CloudFront CDN con headers de seguridad: HSTS, CSP, X-Frame-Options.
- Grupos de seguridad VPC con reglas de mínimo privilegio.
Capa 2 — Aplicación y API
- Autenticación mediante JWT firmado con RS256. Access Token TTL: 15 minutos.
- Refresh Token en HttpOnly cookie con rotación en cada uso. TTL: 7 días.
- Rate limiting por usuario (100 req/min) y por tenant (1,000 req/min).
- Validación de esquema JSON en todos los endpoints de entrada.
- Control de acceso basado en roles (RBAC) evaluado en cada request.
Capa 3 — Datos y Multi-Tenancy
- Row-Level Security (RLS) en PostgreSQL: aislamiento absoluto entre instituciones a nivel de base
de datos.
- Principio de mínimo privilegio: cada servicio opera con credenciales específicas a su función.
- Todos los datos en reposo cifrados con AES-256 (RDS encryption, S3 SSE-KMS).
- Vectores de embeddings cognitivos almacenados en el entorno aislado del tenant correspondiente.
Capa 4 — Auditoría e Integridad
- Registro inmutable de todas las acciones con hash chain SHA-256 tipo blockchain simplificado.
- Cada registro incluye: quién hizo qué, cuándo, desde qué IP y sobre qué recurso.
- Los registros de auditoría son append-only: no pueden modificarse ni eliminarse una vez creados.
- Monitoreo de anomalías con CloudWatch y alertas automatizadas a PagerDuty.
02 Cifrado Integral
| Dato / Recurso |
En tránsito |
En reposo |
| API / Frontend |
TLS 1.3 (CloudFront + ALB) |
N/A |
| Base de datos |
SSL mode=require |
AES-256 (RDS KMS) |
| Archivos (S3) |
HTTPS presigned URLs |
SSE-KMS (AES-256) |
| Redis / Caché |
TLS in-transit |
Refresh tokens: AES-256-GCM |
| JWT Access Token |
RS256 firmado |
N/A (stateless) |
| Device tokens (push) |
N/A |
KMS envelope encryption |
| Datos PII alumnos |
TLS 1.3 |
RDS AES-256 + RLS |
| Logs de auditoría |
TLS 1.3 |
AES-256 + hash chain |
03 Cumplimiento Regulatorio
México — LFPDPPP
ContinuumAI actúa como Encargado bajo instrucciones del Cliente. DPA disponible como Anexo.
Mecanismo ARCO: respuesta en 20 días hábiles. Medidas conforme al Artículo 19.
EE.UU. — COPPA y FERPA
Consentimiento parental verificable delegado a la institución como operador habilitado. No se
utilizan datos de alumnos para publicidad ni se comparten sin autorización.
Colombia — Ley 1581/2012
Política de tratamiento disponible. Registro de bases de datos ante SIC cuando aplique conforme a
Decreto 1377 de 2013.
Argentina — Ley 25.326
Principios de finalidad, proporcionalidad y consentimiento garantizados. Derechos del titular
disponibles vía legal@continuumai.llc.
Chile — Ley 19.628
Estándares de seguridad y derechos de titular garantizados conforme a la normativa vigente y sus
actualizaciones.
Estándares Técnicos
AWS SOC 2 Type II, ISO 27001, PCI-DSS para pasarelas de pago, y OpenAI Enterprise sin retención
de datos.
04 Gobernanza de IA y Ética Algorítmica
ContinuumAI for Education aplica los siguientes principios de gobernanza de IA en entornos educativos:
- Supervisión humana obligatoria: ningún resultado del Motor Cognitivo o Módulo
Predictivo tiene consecuencias autónomas sobre alumnos.
- Transparencia algorítmica: la institución puede auditar las reglas del Módulo
Predictivo en todo momento.
- No discriminación: los modelos son evaluados periódicamente para detectar y mitigar
sesgos en el desempeño por grupo demográfico.
- Propósito limitado: el Motor Cognitivo está restringido por el contexto
institucional. No accede a internet ni a fuentes externas no autorizadas.
- Privacidad por diseño: los datos de alumnos son minimizados, anonimizados cuando es
posible y nunca cruzados entre instituciones.
- Derecho de explicación: docentes y directivos pueden solicitar explicación sobre el
funcionamiento de cualquier módulo de IA.
05 Gestión de Incidentes de Seguridad
ContinuumAI for Education mantiene un plan de respuesta a incidentes que incluye:
- Detección y contención: monitoreo automatizado 24/7 con tiempo objetivo de
detección de menos de 15 minutos para incidentes críticos.
- Evaluación de impacto: determinación del alcance, tipo de datos afectados y número
de titulares comprometidos.
- Notificación al Cliente: el administrador institucional será notificado en un plazo
máximo de 72 horas tras la confirmación del incidente.
- Notificación regulatoria: ContinuumAI apoyará al Cliente en el cumplimiento de sus
obligaciones ante el INAI u otras autoridades competentes.
- Remediación y aprendizaje: análisis post-incidente, corrección de vulnerabilidades
y actualización de controles.
06 Disponibilidad y Continuidad del Servicio
- Infraestructura en AWS Multi-AZ con failover automático.
- Disponibilidad objetivo mensual: 99.5% (excluyendo mantenimientos programados).
- Backups automáticos diarios con retención de 30 días.
- RTO: 4 horas para incidentes mayores.
- RPO: máximo 24 horas de pérdida de datos en escenario catastrófico.
- Mantenimientos programados notificados con 72 horas de anticipación, preferentemente en horario de
baja actividad.
07 Acuerdo de Tratamiento de Datos (DPA)
El Data Processing Agreement (DPA) es un documento contractual complementario disponible para todas las
instituciones contratantes. El DPA especifica:
- Las obligaciones de ContinuumAI como Encargado del tratamiento.
- Los subencargados tecnológicos autorizados (AWS, OpenAI, pasarelas de pago) y sus garantías
contractuales.
- Los procedimientos de auditoría disponibles para el Cliente.
- Los mecanismos de transferencia internacional de datos conformes a la normativa aplicable.
- El proceso formal de notificación de incidentes de seguridad.
Solicitar documentación: Para el DPA completo, el SLA detallado o el documento de
Arquitectura de Seguridad, contactar a legal@continuumai.llc