XkilaXkila

Seguridad / Security

Postura de seguridad de Xkila

Documentación técnica para equipos de procurement, TI y cumplimiento empresarial. · Technical documentation for enterprise procurement, IT, and compliance teams.

Cifrado de datos AES-256 · TLS 1.3

  • En reposo: todos los datos almacenados se cifran con AES-256.
  • En tránsito: todas las comunicaciones usan TLS 1.3; HTTP sin cifrado es rechazado.
  • Backups: copias de seguridad automatizadas con cifrado equivalente.

Data at rest encrypted with AES-256. All traffic over TLS 1.3. Automated encrypted backups.

Autenticación JWT · httpOnly

  • JWT con cookies httpOnly: tokens de sesión almacenados en cookies seguras, no accesibles desde JavaScript del cliente.
  • Rate limiting en login: intentos de inicio de sesión son limitados para prevenir ataques de fuerza bruta.
  • Expiración de sesión: tokens tienen vigencia limitada y son invalidados al cerrar sesión.

JWT tokens in httpOnly cookies. Rate-limited login. Session expiry enforced.

Control de acceso RBAC

Modelo de roles basado en privilegios mínimos:

  • SUPER_ADMIN: acceso completo a todas las organizaciones y configuración de plataforma.
  • ADMIN: gestión de la plataforma dentro del alcance autorizado.
  • ORGANIZATION_ADMIN: gestión de participantes y reportes dentro de su organización.
  • PARTICIPANT: acceso exclusivo a su propia evaluación y reporte.

Role-based access control: SUPER_ADMIN, ADMIN, ORGANIZATION_ADMIN, PARTICIPANT. Tenant-scoped data isolation enforced at query level.

Registro de auditoría Audit Log

  • Todas las acciones administrativas son registradas con: timestamp, actor (ID de usuario), dirección IP, acción realizada y recurso afectado.
  • Los registros son inmutables desde la interfaz de usuario; modificaciones requieren acceso de infraestructura.
  • Retención de logs: 12 meses.

All admin actions logged with timestamp, actor ID, IP, and affected resource. 12-month log retention.

Carga de archivos PDF · DOCX

  • Tipos permitidos: únicamente PDF y DOCX; validación de tipo MIME, extensión y firma de archivo.
  • Límite de tamaño: archivos con tamaño excesivo son rechazados antes de procesarse.
  • Almacenamiento temporal: los archivos se procesan en directorios temporales seguros y se eliminan tras el procesamiento.

File uploads restricted to PDF/DOCX. MIME, extension, and file-signature validation. Size-limited. Stored in secure temp directories.

Infraestructura Cloud VPS

  • Proveedor: infraestructura de nube VPS con copias de seguridad automatizadas diarias.
  • Aislamiento de tenant: las consultas a base de datos son validadas a nivel de organización antes de ejecutarse.
  • Actualizaciones: dependencias de seguridad son monitoreadas y parcheadas regularmente.

Cloud VPS with automated daily backups. Organization-scoped query isolation. Regular security patching.

Política de datos y modelos de IA

Los datos de respuesta de los usuarios no se utilizan para entrenar modelos de IA. Los reportes son generados mediante interpretaciones estructuradas de puntuaciones dimensionales — no mediante modelos de lenguaje entrenados con las respuestas de los participantes.

User response data is not used to train AI models. Reports are structured score interpretations, not outputs of models trained on participant data.

Contacto de seguridad

Para reportar vulnerabilidades, solicitar documentación adicional de seguridad o coordinar una revisión de due diligence, contacte: security@xkila.com

To report vulnerabilities, request additional security documentation, or coordinate a due diligence review, contact: security@xkila.com

Última actualización: mayo 2026 · Last updated: May 2026