Seguridad y gobierno

Gobierno de flota, no solo observabilidad.

Permisos por dueño y grupo, cifrado por diseño, auditoría inmutable y prácticas operativas para mantener una flota sana. Esta página describe los controles del producto Kordana; no sustituye evaluaciones formales ni certificaciones.

01·Todo objeto tiene dueño humano

La cadena de responsabilidad es parte del modelo de datos.

Unidad

Un dueño humano identificable por cada agente. No hay unidad sin responsable.

Grupo

Cada nodo del árbol —dominio, cliente, proceso— tiene dueño humano.

Política

Presupuestos y reglas heredan por el árbol; la política más específica gana y las restricciones nunca se relajan.

02·Modelo de permisos

Roles con alcance explícito, heredados por el árbol de grupos.

Los permisos operan sobre unidades y grupos, no sobre pantallas. Un supervisor de un grupo no puede tocar unidades de otro; un auditor lee todo pero no ejecuta acciones. Los cambios de rol son eventos auditados.

RolAlcancePuede
Dueño de unidadUnidadEditar rol, ajustar límites, aprobar escalamientos, retirar la unidad.
Dueño de grupoGrupo y descendientesAprobar altas, mover unidades entre grupos, fijar presupuestos, decretar freeze.
Supervisor operativoGrupo asignadoStop / play, tomar casos del inbox, ejecutar handoff, abrir incidentes.
AuditorLectura completaConsultar la bitácora inmutable, exportar reportes, verificar certificados de baja.
Administrador de plataformaTenantGestionar SSO, roles, conectores y políticas globales. No accede a datos operativos.

SSO empresarial y aprovisionamiento por SCIM previstos para tenants con requerimientos de identidad centralizada. Consulta disponibilidad en tu plan.

03·Identidad y accesos

Identidad no-humana propia por unidad.

Nunca credenciales de un humano prestadas. Cada unidad recibe su NHI con fecha de rotación. El perfil de accesos se registra estructuradamente en Diseño —sistema, permiso, justificación, aprobador— y se usa como contrato para el aprovisionamiento y para la revocación.

  • · Aprovisionamiento contra un perfil aprobado por los dueños de los sistemas accedidos.
  • · Rotación de credenciales versionada por unidad.
  • · Revocación automática verificada contra el perfil de origen.

Certificado de baja

Retiro verificado

Sin certificado, no hay baja. La fase que elimina los agentes zombis.

  • Credenciales revocadas
  • Accesos cerrados
  • Trabajo huérfano = 0
  • Archivo completo

Objetivo: 100% de unidades retiradas con certificado. Credenciales vivas post-retiro: 0.

04·Cifrado por diseño

Datos protegidos en tránsito, en reposo y en el vault.

Kordana no requiere que confíes en la palabra: los controles criptográficos son parte de la arquitectura del producto. Esta descripción refleja la implementación del servicio y no constituye una certificación independiente.

En tránsito

TLS 1.2+ entre navegador, APIs, conectores y frameworks integrados. HSTS habilitado en el dominio.

En reposo

Cifrado con AES-256 gestionado por el proveedor de infraestructura. Volúmenes, snapshots y respaldos incluidos.

Secretos y NHI

Credenciales de unidad y tokens de conector viven en un vault dedicado, con rotación versionada por unidad.

Aislamiento por tenant

Segregación lógica de datos por organización y controles de acceso a nivel de fila para dueños y grupos.

05·Auditoría inmutable

Actor, acción, objeto, timestamp, justificación.

Toda acción de control queda registrada, sin excepciones —incluso las tomadas por políticas automáticas.

TimestampActorAcciónObjetoJustificación
10:42:03Ana Pérez · SupervisorSTOPunit/cobranza-latam-07Umbral de gasto excedido
10:44:11Política · budget-latamDEGRADEgroup/cobranza-latamPresupuesto diario al 95%
11:02:37Ana Pérez · SupervisorAPPROVEcase/esc-8821Contexto verificado con cliente

06·Buenas prácticas de operación

Seis reglas para que la flota no se te salga de las manos.

Prácticas que recomendamos a los equipos que operan agentes en Kordana. Están alineadas con el modelo de datos y con las palancas del producto.

01

Mínimo privilegio por defecto

Cada unidad arranca con el perfil de accesos más estrecho posible. Ampliar requiere aprobación del dueño del sistema accedido.

02

Límites conservadores al alta

Presupuesto, horario y tope de acciones por defecto en el periodo de prueba. Se relajan cuando la unidad gradúa.

03

Freeze antes que hotfix

Ante duda, pausar la unidad o el grupo. El costo de un freeze es menor que el de un desvío operando.

04

Revisión trimestral de accesos

Revalidar dueños, credenciales activas y perfiles contra los sistemas conectados. Rotación de NHI programada.

05

Postmortem por incidente formal

Todo incidente cierra con hallazgos enlazables a la unidad y a la próxima versión del rol.

06

Retiro con certificado, siempre

Sin certificado de baja no hay cierre. La única forma de eliminar agentes zombis a escala.

Anti-patrón que eliminamos

Agente zombi

Unidad retirada informalmente que conserva credenciales o accesos vivos. La Fase 6 —retiro verificado con certificado— es exactamente lo que lo elimina.

07·Niveles de integración

El nivel decide qué se puede gobernar.

  • L0

    Inventariada

    Existe con dueño y grupo

  • L1

    Observada

    Telemetría, salud, alertas, scorecards

  • L2

    Controlada

    Stop/play, límites, handoff estructurado

  • L3

    Gestionada

    Ciclo de vida completo, retiro verificado

L2 habilita el control operativo. L3 habilita el ciclo de vida completo con retiro verificado.

08·Contacto de seguridad

¿Encontraste algo? Escríbenos.

Reporta vulnerabilidades o incidentes a security@kordana.ai. Respondemos con acuse en un día hábil.

Sube el nivel a tu ritmo.

Empieza inventariando gratis. Sube a observación, control o gestión unidad por unidad.