Seguridad y confianza

Werk24 ofrece puntos finales en la UE y EE.

• UE: Fráncfort (eu-central-1) con copias de seguridad georredundantes en Estocolmo (eu-north-1).
• EE.UU.: Norte de Virginia (us-east-1) con copias de seguridad georredundantes en el norte de California (us-west-1).

El procesamiento tiene lugar en la región del punto final solicitado; no replicamos el contenido entre regiones.

Sí, puede dirigir cargas de trabajo individuales o todas a nuestro punto final estadounidense. Estas solicitudes se procesan y almacenan en Estados Unidos.

No hay replicación automática entre la UE y EE.UU.; la residencia de los datos la determina el punto final que elija.

Werk24 procesa la menor cantidad posible de datos personales. Si los bloques de título siguen un formato estándar, tachamos el área de liberación muy pronto en la cadena de procesamiento.

En reposo: AWS KMS con una CMK dedicada por cliente (SSE-KMS para clientes conectados; datos de prueba a través de SSE-S3). Las claves se rotan anualmente.

Durante la transmisión: TLS 1.2+ (preferiblemente TLS 1.3) mediante certificados gestionados por ACM; mTLS para servicios internos especialmente sensibles. Las tarifas para empresas admiten cifrado de extremo a extremo con claves volátiles.

El acceso sigue el principio del menor privilegio: funciones IAM específicas del servicio, cuentas separadas y MFA/YubiKey para los administradores. El acceso raíz está severamente restringido y requiere la aprobación del CEO; los datos de acceso y las claves se guardan en la caja fuerte.

VPC segmentadas con subredes públicas para frontends y subredes puramente privadas para workers/inference. Los grupos de seguridad limitan los puertos de servicio; los servicios sensibles utilizan puntos finales VPC (sin atravesar la Internet pública). Las API públicas están detrás de API Gateway/ALB con WAF.

Los registros centralizados (CloudWatch, CloudTrail) se almacenan de forma inalterable y versionada en S3 durante al menos 12 meses. Sentry proporciona telemetría a nivel de aplicación. GuardDuty y CloudWatch Alarms permiten la detección de anomalías en tiempo real y la alerta de preparación.

Ciclos de parches semanales (AMI de host, imágenes base, dependencias de Python); CI aplica comprobaciones de dependabot/snyk/trunk; AWS ECR escanea imágenes en push. Los problemas críticos se tratan en 24 horas y se resuelven en 72 horas (las excepciones se documentan).

Copias de seguridad diarias con recuperación puntual para las bases de datos críticas; las copias de seguridad se encuentran en Fráncfort/Estocolmo (UE) y en las regiones correspondientes de EE.UU. RPO 24 h, RTO 4 h; se practica la recuperación completa del entorno y actualmente se verifica tras un fallo total en ~12 h.

Sí, para los clientes con requisitos estrictos de residencia o aislamiento, proporcionamos un entorno dedicado en la región deseada, con claves KMS independientes y límites IAM específicos del cliente.

Nuestro detallado "Concepto de configuración y seguridad" (versionado) está disponible previa solicitud, e incluye diagramas de arquitectura, descripciones de procesos y resultados de pruebas de recuperación en caso de catástrofe.