Cómo protegemos la información que revisamos.
Una firma que revisa ciberseguridad e IA debe poder explicar cómo maneja accesos, datos, evidencia, retención y herramientas.
Principio base
Kronixial solicita solo la evidencia necesaria para el alcance contratado y por el tiempo necesario. No se piden credenciales, logs o documentos sensibles sin autorización y contexto.
- NDA y SOW antes de evidencia sensible.
- Separación de carpetas por cliente.
- Acceso mínimo y temporal.
- No reutilización de evidencias entre clientes.
Contacto de seguridad
Para reportes de seguridad, uso indebido de marca o manejo de información:
También se incluye un archivo security.txt en este paquete.
Access control
MFA en cuentas críticas, password manager, privilegio mínimo, accesos temporales y separación por cliente.
Data handling
Minimización, carpetas separadas, no compartir evidencias por canales informales y control de terceros.
Retention
La retención se define en SOW. La evidencia puede borrarse, devolverse o conservarse por periodo acordado.
AI use
No se envían datos sensibles de clientes a herramientas públicas de IA sin autorización explícita y controles.
Secrets
Credenciales, tokens y llaves no deben viajar por correo ni chats. Se manejan con vaults o mecanismos acordados.
Subprocessors
Las herramientas de correo, almacenamiento, firma, CRM o gestión se documentan cuando el engagement lo requiere.
| Pregunta de vendor review | Respuesta sugerida de Kronixial |
|---|---|
| ¿Usan MFA? | Sí, MFA se requiere para cuentas críticas y herramientas internas. |
| ¿Cómo manejan datos de cliente? | Por alcance, minimización, separación de carpetas y retención definida. |
| ¿Usan IA con datos del cliente? | No por defecto. Requiere autorización explícita y eliminación de datos sensibles cuando aplique. |
| ¿Pueden borrar evidencia al cierre? | Sí, según SOW y necesidades de continuidad, legal o auditoría. |