Seguridad y Cumplimiento
Documento Técnico-Legal · Enterprise Trust
- 1. Arquitectura de Seguridad por Capas
- 2. Encriptación Integral
- 3. Cumplimiento Regulatorio
- 4. Gobernanza de IA y Ética Algorítmica
- 5. Gestión de Incidentes de Seguridad
- 6. Disponibilidad y Continuidad
- 7. Acuerdo de Procesamiento de Datos (DPA)
1. Arquitectura de Seguridad por Capas
ContinuumAI implementa un modelo de seguridad basado en defensa en profundidad (Defense-in-Depth) con cuatro capas de protección independientes y complementarias. Esta arquitectura garantiza que la compromisión de una capa no implique la exposición de los datos protegidos, ya que cada capa opera con sus propios mecanismos de autenticación, autorización y auditoría.
Capa 1: Perímetro y Red
La primera línea de defensa protege la infraestructura de red mediante múltiples mecanismos de seguridad perimetral. Todo el tráfico entrante pasa a través de AWS CloudFront como CDN y capa de mitigación DDoS, complementado por AWS Shield Advanced para protección contra ataques volumétricos. AWS WAF (Web Application Firewall) filtra el tráfico HTTP/HTTPS aplicando reglas personalizadas que bloquean inyecciones SQL, cross-site scripting (XSS), inclusión de archivos remotos y otros vectores de ataque OWASP Top 10.
La infraestructura de red opera dentro de Amazon VPC con subredes privadas para bases de datos y servidores de aplicación, sin exposición directa a Internet. Los grupos de seguridad (Security Groups) implementan el principio de mínimo privilegio a nivel de red, permitiendo únicamente las conexiones necesarias entre componentes. Las Network ACLs proporcionan una capa adicional de filtrado a nivel de subred. Todo el tráfico de red se registra mediante VPC Flow Logs para análisis forense y detección de anomalías.
Capa 2: Aplicación y API
La capa de aplicación implementa autenticación multifactor (MFA) obligatoria para administradores institucionales y opcional para docentes, autenticación basada en JWT (JSON Web Tokens) con rotación automática de claves, rate limiting adaptativo por endpoint y usuario, validación estricta de entradas con sanitización contra inyecciones, y headers de seguridad HTTP (HSTS, CSP, X-Frame-Options, X-Content-Type-Options).
Las APIs REST siguen los principios de diseño seguro con autenticación en cada solicitud, autorización granular basada en roles (RBAC), versionado de API para garantizar retrocompatibilidad, y documentación OpenAPI con validación de esquemas. Los tokens de acceso tienen una vida útil máxima de 15 minutos con refresh tokens de 7 días, rotados automáticamente en cada uso. Las sesiones inactivas se cierran automáticamente después de 30 minutos.
Capa 3: Datos y Multi-Tenancy
El aislamiento de datos entre instituciones se implementa mediante Row Level Security (RLS) en PostgreSQL (Aurora), garantizando a nivel de motor de base de datos que cada consulta filtre automáticamente los resultados al tenant correspondiente. Este mecanismo opera de forma transparente para la capa de aplicación y es verificado mediante pruebas automatizadas que intentan acceder a datos cross-tenant en cada despliegue.
Todos los datos en reposo se cifran con AES-256 mediante AWS KMS (Key Management Service) con claves gestionadas por ContinuumAI y rotadas automáticamente cada 365 días. Las copias de seguridad se cifran antes de su almacenamiento en S3 con una clave independiente. Los campos de datos personales sensibles (PII) se cifran adicionalmente a nivel de aplicación con claves específicas por tenant, proporcionando una capa adicional de protección incluso en caso de acceso no autorizado a la base de datos.
Capa 4: Auditoría e Integridad
Todas las operaciones sobre datos sensibles se registran en un sistema de auditoría inmutable basado en append-only logs. Cada registro de auditoría incluye: identificador único de la operación, timestamp con precisión de microsegundos, usuario que ejecutó la acción, dirección IP de origen, recurso afectado, tipo de operación (lectura, escritura, eliminación), y hash de integridad SHA-256 del registro anterior para garantizar la inmutabilidad de la cadena de auditoría.
Los logs de auditoría se almacenan en Amazon CloudWatch Logs con retención de 3 años y se exportan diariamente a Amazon S3 con protección Object Lock (WORM) para cumplimiento regulatorio. Se generan alertas automatizadas ante patrones anómalos como accesos masivos, intentos de acceso fuera de horario, modificaciones de permisos y exportaciones de datos. Un dashboard de seguridad en tiempo real permite al equipo de operaciones monitorear la postura de seguridad de la plataforma las 24 horas del día, los 7 días de la semana.
2. Encriptación Integral
ContinuumAI aplica encriptación de extremo a extremo en todos los puntos de la arquitectura donde se transmiten, procesan o almacenan datos. La siguiente tabla detalla las especificaciones técnicas de encriptación para cada componente del sistema:
| Componente | Protocolo / Algoritmo | Longitud de Clave | Rotación |
|---|---|---|---|
| API (tránsito) | TLS 1.3 | 256-bit (ECDHE) | Certificados cada 90 días (Let's Encrypt) |
| Base de datos (reposo) | AES-256-GCM | 256-bit | Claves KMS cada 365 días |
| Almacenamiento S3 | AES-256 (SSE-KMS) | 256-bit | Claves KMS cada 365 días |
| Caché Redis | TLS 1.2+ en tránsito, AES-256 en reposo | 256-bit | Datos volátiles, TTL configurado |
| JWT (tokens de sesión) | RS256 (RSA-SHA256) | 2048-bit RSA | Par de claves cada 90 días |
| Tokens de API | HMAC-SHA256 | 256-bit | Bajo demanda del cliente |
| PII (nivel de aplicación) | AES-256-GCM | 256-bit (por tenant) | Cada 180 días o bajo demanda |
| Logs de auditoría | SHA-256 (integridad) + AES-256 (reposo) | 256-bit | Claves KMS cada 365 días |
La gestión de claves de encriptación se centraliza en AWS Key Management Service (KMS), que proporciona módulos de seguridad de hardware (HSM) validados FIPS 140-2 Nivel 3. Las claves maestras nunca abandonan los HSM y se utilizan exclusivamente para cifrar/descifrar claves de datos, siguiendo el modelo de envoltura de claves (envelope encryption). Se mantienen políticas estrictas de separación de funciones: ningún empleado individual puede acceder tanto a los datos cifrados como a las claves de descifrado.
Cifrado post-cuántico: ContinuumAI monitorea activamente los avances en computación cuántica y planifica la migración a algoritmos de encriptación post-cuánticos (CRYSTALS-Kyber, CRYSTALS-Dilithium) conforme a las recomendaciones del NIST, con una hoja de ruta de implementación prevista para 2027.
3. Cumplimiento Regulatorio
ContinuumAI opera en múltiples jurisdicciones de América Latina y cumple con los marcos regulatorios de protección de datos personales aplicables en cada país donde presta servicios. Nuestro programa de cumplimiento está diseñado para adaptarse a los requerimientos específicos de cada legislación, manteniendo como base los estándares más estrictos aplicables.
LFPDPPP (México)
Cumplimiento integral con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento. ContinuumAI ha implementado: Aviso de Privacidad conforme a los artículos 15-18; procedimientos para el ejercicio de derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) conforme a los artículos 28-35; registro de bases de datos ante el INAI; evaluaciones de impacto en protección de datos; y designación de un oficial de privacidad responsable del cumplimiento. Se realizan auditorías internas semestrales de cumplimiento LFPDPPP.
COPPA / FERPA (Estados Unidos)
Como proveedor de servicios tecnológicos para instituciones educativas, ContinuumAI cumple con la Children's Online Privacy Protection Act (COPPA) mediante la obtención de consentimiento verificable de los padres a través de la institución educativa conforme a la excepción escolar de la FTC. Para FERPA, ContinuumAI actúa como "school official" con "legitimate educational interest", comprometiéndose contractualmente a no utilizar registros educativos para fines distintos a los autorizados por la institución. Se implementan controles de acceso granulares que respetan las disposiciones de acceso y enmienda de registros educativos por parte de los padres.
Ley 1581 de 2012 (Colombia)
Para instituciones educativas colombianas, ContinuumAI cumple con la Ley Estatutaria 1581 de 2012 y el Decreto 1377 de 2013 sobre protección de datos personales. Esto incluye: registro de bases de datos ante la Superintendencia de Industria y Comercio (SIC); implementación de políticas de tratamiento de información; obtención de autorización previa, expresa e informada del titular; y atención de consultas y reclamos dentro de los plazos legales (10 y 15 días hábiles, respectivamente). Se aplican medidas reforzadas para el tratamiento de datos de menores conforme al artículo 7 de la ley.
Ley 25.326 (Argentina)
ContinuumAI cumple con la Ley de Protección de los Datos Personales N.° 25.326 de Argentina y su Decreto Reglamentario 1558/2001. Se implementa el registro de bases de datos ante la Dirección Nacional de Protección de Datos Personales (DNPDP); se garantiza el derecho de acceso, rectificación, supresión y confidencialidad de los titulares; y se aplican las medidas de seguridad de nivel medio y alto conforme a la Disposición 11/2006 de la DNPDP, según la sensibilidad de los datos tratados.
Ley 19.628 (Chile)
Para instituciones educativas chilenas, ContinuumAI opera conforme a la Ley 19.628 sobre Protección de la Vida Privada y sus modificaciones vigentes. Se garantizan los derechos de información, modificación, cancelación y bloqueo de datos personales. ContinuumAI monitorea activamente la evolución del proyecto de nueva Ley de Datos Personales en tramitación legislativa, con planes de adecuación anticipada a los nuevos requisitos, incluyendo la futura creación de la Agencia de Protección de Datos Personales.
Principio de máxima protección: Cuando existan diferencias entre las legislaciones aplicables, ContinuumAI aplica el estándar más protector para los titulares de datos, garantizando que todos los usuarios reciban al menos el nivel de protección más alto previsto por cualquiera de las jurisdicciones donde operamos.
4. Gobernanza de IA y Ética Algorítmica
ContinuumAI integra inteligencia artificial en diversos módulos de su plataforma, incluyendo el sistema cognitivo de aprendizaje, el módulo de riesgo predictivo, la generación de retroalimentación pedagógica automatizada y el análisis de patrones institucionales. Reconocemos la responsabilidad ética inherente al despliegue de IA en contextos educativos, donde las decisiones algorítmicas pueden impactar directamente la trayectoria académica y el bienestar de estudiantes, muchos de ellos menores de edad.
Principios rectores de nuestra gobernanza de IA:
- Transparencia: Proporcionamos documentación clara sobre el funcionamiento general de nuestros algoritmos, los datos que utilizan como entrada, los factores que influyen en las predicciones y las limitaciones conocidas de cada modelo. Los Usuarios Finales son informados cuando interactúan con contenido generado o curado por IA.
- Equidad y no discriminación: Los modelos de IA se evalúan periódicamente para detectar y mitigar sesgos algorítmicos. No utilizamos variables como raza, etnia, género, religión, orientación sexual, nacionalidad o estatus socioeconómico como factores predictivos. Se realizan auditorías de equidad trimestrales con métricas de paridad demográfica y oportunidad igualitaria.
- Supervisión humana: Todas las decisiones críticas generadas por IA (como indicadores de riesgo de deserción o recomendaciones de intervención) requieren validación humana por parte de personal educativo calificado antes de ejecutarse. La IA asiste, nunca sustituye, el juicio profesional.
- Minimización de datos: Los modelos de IA operan con el mínimo de datos necesarios para cumplir su función. Los datos enviados a APIs externas (OpenAI) se anonimizan previamente, eliminando identificadores personales antes del procesamiento.
- Derecho a explicación: Los titulares de datos o sus tutores tienen derecho a solicitar una explicación comprensible sobre cualquier decisión o recomendación generada por IA que les afecte, así como a solicitar revisión humana de dicha decisión.
Comité de Ética de IA: ContinuumAI mantiene un comité interdisciplinario de ética de IA compuesto por profesionales en educación, tecnología, derecho y ética, que revisa trimestralmente el impacto de los algoritmos desplegados y emite recomendaciones vinculantes para el equipo de desarrollo.
5. Gestión de Incidentes de Seguridad
ContinuumAI mantiene un Plan de Respuesta a Incidentes de Seguridad (IRP) documentado, probado y actualizado periódicamente, diseñado para detectar, contener, erradicar y recuperarse de incidentes de seguridad de manera eficiente y conforme a las obligaciones legales aplicables. El plan sigue las directrices del NIST Cybersecurity Framework (CSF) y se somete a simulacros trimestrales.
Tiempos de respuesta comprometidos
| Fase | Tiempo Objetivo | Descripción |
|---|---|---|
| Detección | 15 minutos | Tiempo máximo para identificar un incidente potencial mediante sistemas de monitoreo automatizado (AWS GuardDuty, CloudWatch Alarms, alertas personalizadas) |
| Clasificación | 30 minutos | Evaluación de la severidad del incidente (Crítico, Alto, Medio, Bajo) y activación del nivel de respuesta correspondiente |
| Contención | 1 hora (crítico) / 4 horas (alto) | Aislamiento de los sistemas afectados para prevenir la propagación del incidente |
| Notificación a clientes | 72 horas | Notificación formal a las instituciones afectadas conforme a la LFPDPPP y demás regulaciones aplicables |
| Notificación a autoridades | 72 horas | Notificación al INAI y autoridades equivalentes en cada jurisdicción afectada, cuando la vulneración sea significativa |
| Informe post-incidente | 10 días hábiles | Informe detallado con análisis de causa raíz, acciones de remediación implementadas y medidas preventivas |
El equipo de respuesta a incidentes está compuesto por profesionales de seguridad informática con disponibilidad 24/7, respaldados por acuerdos de respuesta rápida con proveedores especializados en forense digital. Los roles y responsabilidades están claramente definidos: Incident Commander (coordinación general), Security Analyst (análisis técnico), Communications Lead (comunicación con clientes y autoridades) y Legal Counsel (evaluación de obligaciones regulatorias).
En caso de vulneración de datos personales que represente un riesgo significativo para los derechos y libertades de los titulares, ContinuumAI notificará a las instituciones educativas afectadas dentro de las 72 horas siguientes a la confirmación del incidente, proporcionando la siguiente información: (a) naturaleza del incidente; (b) categorías y número aproximado de titulares afectados; (c) datos personales comprometidos; (d) medidas adoptadas para contener y remediar el incidente; (e) recomendaciones para los titulares afectados; y (f) punto de contacto para consultas adicionales.
Compromiso de transparencia: ContinuumAI se compromete a publicar un informe anual de transparencia en seguridad que incluya: número de incidentes detectados (sin revelar detalles que comprometan la seguridad), tiempo promedio de respuesta, mejoras implementadas y resultados de auditorías externas.
6. Disponibilidad y Continuidad
ContinuumAI diseña su arquitectura para maximizar la disponibilidad y la resiliencia del servicio. La plataforma opera sobre infraestructura AWS Multi-AZ (Multiple Availability Zones), lo que garantiza que los componentes críticos se replican automáticamente en centros de datos geográficamente separados dentro de la misma región, eliminando puntos únicos de fallo.
Compromisos de disponibilidad
| Métrica | Compromiso | Detalle |
|---|---|---|
| Disponibilidad mensual (SLA) | 99.5% | Equivalente a un máximo de 3.65 horas de inactividad no programada por mes |
| RTO (Recovery Time Objective) | 4 horas | Tiempo máximo para restaurar el servicio tras un desastre que afecte la infraestructura principal |
| RPO (Recovery Point Objective) | 24 horas | Pérdida máxima de datos medida en tiempo: se garantiza la recuperación de datos hasta 24 horas antes del incidente |
| Frecuencia de backups | Cada 6 horas | Copias de seguridad automatizadas de bases de datos con retención de 30 días |
| Backups cross-region | Diario | Replicación diaria de backups a una región AWS secundaria para recuperación ante desastres regionales |
Plan de Continuidad del Negocio (BCP): ContinuumAI mantiene un Plan de Continuidad del Negocio documentado que cubre los siguientes escenarios: fallo de zona de disponibilidad AWS, fallo regional completo, compromiso de seguridad que requiera aislamiento de la infraestructura, y pérdida de personal clave. El BCP se prueba mediante simulacros semestrales que incluyen failover completo a infraestructura secundaria, validación de integridad de backups y activación de los procesos de comunicación de crisis.
Arquitectura de alta disponibilidad: Los componentes principales de la plataforma utilizan: Amazon Aurora PostgreSQL con réplicas de lectura Multi-AZ y failover automático; balanceadores de carga (ALB) distribuidos en múltiples zonas de disponibilidad; Amazon ElastiCache (Redis) con replicación automática; Amazon S3 con durabilidad de 99.999999999% (11 nueves); y auto-scaling de la capa de aplicación para manejar picos de demanda sin degradación del servicio.
Monitoreo proactivo: La infraestructura se monitorea en tiempo real mediante Amazon CloudWatch, con alertas configuradas para métricas de CPU, memoria, latencia, tasa de errores y capacidad de almacenamiento. El equipo de operaciones recibe alertas automáticas ante cualquier degradación del servicio, permitiendo intervención proactiva antes de que los usuarios se vean afectados.
7. Acuerdo de Procesamiento de Datos (DPA)
ContinuumAI ofrece a todas las instituciones educativas clientes un Acuerdo de Procesamiento de Datos (Data Processing Agreement, DPA) que formaliza las obligaciones de ambas partes respecto al tratamiento de datos personales. El DPA forma parte integral del contrato de servicios y se alinea con los requerimientos de la LFPDPPP, COPPA, FERPA y las regulaciones equivalentes en cada jurisdicción donde operamos.
El DPA establece, como mínimo, los siguientes elementos: (a) el objeto y la duración del tratamiento; (b) la naturaleza y la finalidad del tratamiento; (c) el tipo de datos personales y las categorías de titulares; (d) las obligaciones y derechos del responsable (la institución educativa) y del encargado (ContinuumAI); (e) las medidas técnicas y organizativas de seguridad; (f) las condiciones para la subcontratación (subencargados); (g) la asistencia al responsable en el cumplimiento de sus obligaciones regulatorias; (h) la devolución o eliminación de datos al término del contrato; e (i) las auditorías y mecanismos de verificación del cumplimiento.
Derecho de auditoría: Las instituciones educativas clientes tienen derecho a verificar el cumplimiento de las obligaciones de ContinuumAI como Encargado del tratamiento. Este derecho puede ejercerse mediante: (a) solicitud de informes de auditoría de terceros independientes (SOC 2 Type II de la infraestructura AWS); (b) cuestionarios de seguridad completados por ContinuumAI; (c) auditorías in-situ o remotas realizadas por auditores independientes designados por el Cliente, con previo aviso de 30 días y sujetas a acuerdos de confidencialidad. ContinuumAI colaborará razonablemente con las auditorías sin que ello comprometa la seguridad de la plataforma ni la confidencialidad de otros clientes.
Solicitud de DPA: Las instituciones educativas que requieran una copia firmada del DPA o deseen negociar cláusulas adicionales pueden solicitarlo enviando un correo electrónico a legal@continuumai.llc con el asunto "Solicitud DPA — [Nombre de la Institución]". El DPA estándar se proporciona sin costo adicional como parte del servicio.