R
RRHH
Seguridad y cumplimiento

La auditoría no se improvisa. Se diseña.

RRHH es una plataforma con privacy by design y security by design. Cumplimiento de protección de datos personales en cada país de Latinoamérica, auditoría criptográfica y aislamiento multi-tenant son parte del producto, no funciones adicionales.

4 pilares

Lo que hace de RRHH una plataforma defendible legalmente

Privacidad por diseño · multi-país

Cumple con los marcos de protección de datos personales de cada país de Latinoamérica: Habeas Data (CO), LGPD (BR), LFPDPPP (MX), Ley 25.326 (AR), Ley 19.628/21.719 (CL), Ley 29.733 (PE), LOPDP (EC) y demás.

  • Consentimiento previo, expreso e informado en 10 finalidades distintas
  • Versionado de políticas: guarda exactamente qué texto firmó cada candidato
  • Evidencia probatoria con IP, user-agent, hash SHA-256 y código único
  • OTP por correo o SMS para firmas avanzadas
  • Revocatoria, supresión, rectificación y portabilidad de datos
  • Logs inmutables de quién consultó información sensible

Auditoría inmutable

Cada acción crítica genera una entrada que sirve como evidencia ante reguladores, auditorías ISO o disputas legales.

  • Registro de userId, IP, user-agent, dispositivo y módulo afectado
  • Valor anterior y nuevo (before/after) en cada cambio
  • Hash SHA-256 del payload — manipulable detectable
  • Trazabilidad de descargas, vistas de información sensible y aprobaciones
  • Filtros por módulo, acción, usuario, fecha
  • Exportable en PDF, Excel o CSV para inspecciones

Multi-tenant aislado

Los datos de tus clientes nunca se mezclan. El aislamiento se aplica en cada query, no como una capa opcional.

  • Filtro tenantId server-side en cada operación de la BD
  • Helper centralizado tenantScope() — imposible olvidar en una query
  • Roles SUPERADMIN/COMMERCIAL_ANALYST con acceso global controlado
  • Aislamiento verificado en pruebas E2E y revisión de seguridad
  • Ataques cross-tenant: 404 al intentar URLs con IDs ajenos

Seguridad operacional

OWASP Top 10 cubierto desde el framework, y prácticas adicionales para roles críticos.

  • TLS 1.3 en tránsito · cifrado at-rest a nivel de disco
  • bcrypt para passwords con cost-factor 10
  • Lockout automático tras 5 intentos fallidos (15 min)
  • JWT con expiración 8h · CSRF tokens en NextAuth
  • Sanitización de inputs · validación con Zod en cada endpoint
  • Rate limiting · headers de seguridad (CSP, HSTS, X-Frame-Options)
  • MFA opcional (TOTP, roadmap WebAuthn)
Protección de datos en detalle

Responder un derecho de petición en minutos, no semanas

Tu DPO u oficial de cumplimiento tiene el control desde la consola, sin abrir tickets a IT — válido para Habeas Data, LGPD, LFPDPPP y los demás marcos regionales.

01

Consentimiento previo, expreso e informado

Antes de cualquier validación, el candidato acepta una autorización específica con texto versionado, IP, hash criptográfico y código único legible (AUTH-1A4F).

02

Acceso, rectificación y supresión

El titular puede solicitar conocer, actualizar, corregir o eliminar sus datos en cualquier momento. La auditoría queda completa.

03

Revocatoria del consentimiento

Marca un Consent como revoked con fecha, motivo y registro. El sistema deja de procesar lo autorizado y mantiene la evidencia.

04

Trazabilidad de quién accedió

Cada consulta a información sensible (resultado de polígrafo, BG check, declaración de bienes) queda en AuditLog con userId.

05

Mínimo privilegio por rol

11 roles RBAC con acceso server-side. El analista de RRHH no ve resultados de polígrafo. El visitador solo ve sus visitas asignadas.

06

Retención documental

Configura tiempos de retención por categoría de documento. Eliminación segura con marca en auditoría.

Operaciones y respuesta a incidentes

Lo que pasa detrás de la cámara

Infraestructura

  • Hosting en proveedores con certificación SOC 2 / ISO 27001
  • Edge global con TLS 1.3
  • Base de datos PostgreSQL gestionada con cifrado at-rest
  • Backups automáticos con punto de restauración hasta 30 días
  • Aislamiento por tenant a nivel de columna · pgbouncer en producción
  • Monitoreo 24/7 con alertas de anomalías

Gestión de incidentes

  • Plan de respuesta documentado · roles y SLAs definidos
  • Notificación a clientes afectados en menos de 72 horas
  • Postmortem público para incidentes críticos
  • Tabla AuditLog incluye flag para incidentes y postmortems
  • Pruebas de DR (disaster recovery) trimestrales
  • Programa de divulgación responsable de vulnerabilidades

¿Te toca la próxima auditoría? Que no te tome desprevenido.

Agenda una sesión técnica con nuestro equipo. Te mostramos exactamente cómo se ve la evidencia que entregaríamos a un regulador o un auditor externo.

Agendar sesión técnica Ver todas las funcionalidades