Lo que ya respondimos, para que tu equipo de VRM no tenga que preguntar.

Seguridad de aplicación + interfaz

¿La aplicación usa TLS 1.2 o superior para toda data en tránsito?

Sí. TLS 1.3 es el default. TLS 1.2 es la versión mínima soportada. Los protocolos más viejos están explícitamente deshabilitados en la capa de load-balancer.

¿Todas las credenciales de cliente se transmiten y almacenan usando hashes salteados?

Sí. La autenticación está delegada a Supabase Auth, que usa hashing argon2id salteado de estándar industrial. Mycelium nunca almacena credenciales en texto plano.

¿La autenticación multi-factor está disponible para cuentas de admin de cliente?

Sí. MFA está disponible y recomendada; SSO vía SAML u OIDC está disponible en el tier Mycelium Enterprise.

¿Los tokens de sesión están scoped por tenant?

Sí. Cada token de sesión carga un claim de tenant validado en cada request autenticado. El reuse de token cross-tenant es rechazado en la capa de validación JWT antes de que el handler corra.

Seguridad de data + cifrado

¿La data del cliente está cifrada en reposo?

Sí. Cifrado en reposo gestionado por Postgres con AES-256. Los clientes Mycelium Enterprise pueden suministrar su propio key KMS (BYOK) para isolación de llaves por tenant.

¿Se aplica cifrado en tránsito para toda data del cliente?

Sí. TLS 1.3 mínimo en el límite público; mTLS en el límite inter-servicio dentro del runtime.

¿Dónde se almacena la data del cliente?

Mycelium Lite: runtime gestionado multi-tenant, región primaria US. Mycelium Enterprise: región customer-selectable (US, EU, AP) para runtime gestionado, o cloud completamente customer-owned para deployments single-tenant + on-premise.

¿La data del cliente se puede exportar a demanda?

Sí. Los exports de data del tenant se hacen como Markdown en texto plano sobre un archivo gzip firmado. Los exports de audit log se hacen como JSONL gzippeado firmado con la llave del tenant. Ambos disponibles a demanda sin costo adicional.

¿Qué pasa con la data del cliente después de la terminación del contrato?

La data en texto plano customer-owned es del cliente, punto. La metadata del runtime (audit logs, access tokens) se retiene por el período de retención acordado contractualmente (default 30 días post-terminación, ventanas más largas disponibles para industrias reguladas) y luego se elimina permanentemente con certificado de eliminación a solicitud.

Identidad + control de acceso

¿El sistema soporta control de acceso basado en rol?

Sí. RBAC a nivel de tenant, con scoping de memory-record por rol para clientes del tier Mycelium Enterprise.

¿El sistema soporta SSO SAML u OIDC?

Sí, en el tier Mycelium Enterprise. Mycelium Lite soporta autenticación email + magic-link y Google OAuth; SSO SAML/OIDC es Enterprise-only.

¿Cómo se loguean las acciones de admin?

Cada acción de admin aterriza en el audit log append-only del tenant con timestamp, identidad del actor, IP de origen, y payload de acción. El log es exportable a demanda.

Respuesta a incidentes + continuidad

¿Cuál es el tiempo medio de detección de incidente?

Las alertas de PostHog, Vercel y Sentry proveen detección en tiempo real. Target interno: alerta dentro de cinco minutos del incidente; primera respuesta dentro de una hora hábil.

¿Cuál es el timeline de notificación al cliente para un incidente de seguridad confirmado?

Notificación al cliente dentro de 24 horas de la confirmación del incidente. La notificación nombra el alcance impactado al cliente, las acciones tomadas, y el timeline de remediación.

¿Hay un plan de continuidad de negocio publicado?

Sí, resumido en el Centro de Confianza bajo cadencia de auditoría. Drills de restore de backup corren trimestralmente. Ejercicios tabletop de respuesta a incidentes corren semi-anualmente. BCP completo disponible a solicitud bajo NDA.

¿Cuál es la cadencia de postmortem?

Postmortem publicado a /trust/postmortems dentro de 14 días del cierre del incidente. El postmortem cubre causa raíz, fix, y el cambio de monitoreo hecho después.

Cumplimiento + auditoría

¿La empresa tiene certificación SOC 2 Type II?

El engagement de SOC 2 Type II empieza Q2 2026 con un auditor tier-1. El reporte Type II requiere una ventana de observación de seis meses; ETA del reporte Q4 2026. El Centro de Confianza carga el timeline con fecha.

¿La empresa cumple con HIPAA?

Paquete BAA-ready disponible hoy en el tier Mycelium Enterprise; evaluación de riesgo y documentación de safeguards técnicos firmados y disponibles. Los BAAs son negociables en el tier Enterprise y no están en scope en Mycelium Lite.

¿La empresa cumple con GDPR?

Sí, el runtime está construido para ser de calidad processor con los controles en nuestra DPA. La DPA es pública en /es/dpa. La plantilla DPIA está disponible en /es/dpia para que prospects la adjunten a su revisión interna.

¿La empresa se compromete a un pen test anual?

Sí. El engagement con una firma tier-1 (Bishop Fox, NCC Group, o Trail of Bits) empieza Q2 2026. Reporte anual bajo NDA desde Q3 2026 en adelante. Reportes disponibles a solicitud para prospects F100.

Subprocesadores + cadena de suministro

¿La empresa mantiene una lista pública de subprocesadores?

Sí, en /es/subprocessors. Notificación al cliente sobre adiciones: 30 días de aviso anticipado con derecho a objetar.

¿El riesgo de software third-party está evaluado?

Auditoría de dependencias semanalmente vía Dependabot. Bumps de versión mayor se revisan en PR antes del merge. SBOM disponible a solicitud para clientes del tier Mycelium Enterprise.

Arquitectura + riesgo específico de IA

¿El sistema pasa data del cliente a un LLM third-party?

Sí, scoped al modelo seleccionado por el cliente. El default es Claude (Anthropic) bajo nuestra relación processor cubierta por DPA. Las alternativas customer-selected (OpenAI, Google, OpenRouter) cargan la DPA del vendor seleccionado por el cliente, no la de Mycelium. Opt-out por tenant disponible.

¿La data del cliente entrena algún modelo third-party?

No. La data del cliente nunca se usa para entrenar modelos de fundación third-party. Los acuerdos con vendors de modelo prohíben específicamente el training sobre mensajes de cliente.

¿Cómo manejan los riesgos de prompt injection a nivel de capa de memoria?

Las actualizaciones de memory-record están gateadas por un allowlist por request de IDs de record derivados del intent original del usuario. El acceso de memoria cross-tenant requiere consent cross-tenant explícito. Las escrituras de memoria desde prompts agent-controlled están sandboxed por política del cliente.

Obligaciones del cliente

¿Cuáles son las responsabilidades del cliente bajo el modelo de responsabilidad compartida?

El cliente es responsable de: proteger sus propias credenciales de admin, configurar los permisos de conector de su tenant, clasificar la data que ingieren a la capa de memoria, y cumplir con las leyes de su jurisdicción. Mycelium es responsable del substrato, la postura de seguridad del runtime, la integridad del audit log, y el lado del vendor de cada compromiso en este RFP.

¿Tu cuestionario tiene una pregunta que esta página no cubre?

Envía el cuestionario a contact@myceliumai.co y llenamos las filas faltantes bajo NDA. El camino más rápido por Compras es la página que estás leyendo más una hoja de portada de una página que tu equipo de VRM escriba contra esta página.