UniAuth
Centro de confianza

Seguridad y cumplimiento que puedes verificar

UniAuth se basa en prácticas de seguridad verificables, estándares abiertos y un tratamiento transparente de los datos. Cada afirmación de esta página corresponde a una implementación concreta.

Cumplimiento

Estado de cumplimiento

Estado marco por marco. Autoatestiguado significa que implementamos los controles técnicos; certificado requiere un informe de un tercero vinculado.

GDPR

Autoatestiguado

Data subject rights, DPA available, EU residency supported

CCPA

Autoatestiguado

California opt-out, data inventory, DSR support

SOC 2 Type II

En curso

Controls implemented; third-party audit not yet completed

FIPS 203 (ML-KEM)

Autoatestiguado

Post-quantum key encapsulation used for session keys

FIPS 204 (ML-DSA)

Autoatestiguado

Post-quantum digital signatures on every session

FIDO2 / WebAuthn

Autoatestiguado

Passkey and hardware key support with direct attestation

HIPAA

Sin iniciar

Not yet evaluated

ISO 27001

Sin iniciar

Not yet evaluated

Sobre la autoatestación: los marcos marcados como autoatestiguados significan que implementamos los controles técnicos requeridos en el código, pero no hemos sido auditados por un tercero independiente. No tomes esta página como prueba de cumplimiento en una contratación regulada; pídenos los detalles más recientes. Cuando se complete una auditoría de un tercero, esta página enlazará el informe y el estado cambiará a certificado.
Estándares

Estándares y protocolos de seguridad

Construido sobre los estándares de NIST, IETF y OASIS. Sin dependencia propietaria.

FIPS 203 (ML-KEM)

Encapsulado de claves poscuántico para el intercambio y la rotación de claves

FIPS 204 (ML-DSA)

Firmas digitales poscuánticas en cada sesión de usuario

FIDO2 / WebAuthn

Compatibilidad con passkeys y llaves de seguridad de hardware con atestación directa

OAuth 2.0 / OIDC

Servidor de autorización y proveedor OpenID conformes a los estándares

SAML 2.0

IdP completo con SSO, SLO, aserciones firmadas y metadatos

SCIM 2.0

Aprovisionamiento automatizado de usuarios y grupos con operaciones masivas

Tratamiento de datos

Cómo tratamos tus datos

Almacenamiento de datos

Todos los datos se almacenan en PostgreSQL con conexiones cifradas mediante TLS. Las copias de seguridad de la base de datos se cifran con AES-256 y se almacenan en ubicaciones geográficamente redundantes. No se almacenan datos en servicios de análisis o seguimiento de terceros.

Cifrado

Cifrado AES-256-GCM en reposo para todos los valores sensibles: secretos TOTP, tokens OAuth, claves privadas PQC, contraseñas LDAP. TLS 1.3 para los datos en tránsito. Clave de cifrado de 256 bits independiente de los secretos de firma JWT.

Minimización de datos

Los identificadores de sujeto por pares evitan la correlación de usuarios entre aplicaciones. Solo se recopilan los datos necesarios para la autenticación. Sin seguimiento del comportamiento, sin perfiles publicitarios, sin venta de datos.

Conservación y eliminación

Políticas de conservación de datos configurables. Por defecto: sesiones purgadas tras 30 días, tokens OTP tras 24 horas, registros de actividad tras 1 año. Autoeliminación completa de la cuenta con purga total de datos disponible en cualquier momento.

Divulgación responsable

Nos tomamos en serio las vulnerabilidades de seguridad. Si descubres un problema de seguridad en UniAuth, repórtalo de forma responsable. Nos comprometemos a acusar recibo de los informes en 24 horas, a ofrecer una evaluación inicial en 72 horas y a mantenerte informado del progreso de la corrección.

Los informes que cumplan los requisitos pueden optar a nuestro programa de recompensas por errores. La gravedad se evalúa con la puntuación CVSS 3.1. No emprendemos acciones legales contra los investigadores que sigan las pautas de divulgación responsable.

¿Tienes preguntas sobre cumplimiento?

Nuestro equipo de seguridad está disponible para hablar sobre la arquitectura, compartir informes de auditoría o completar tu cuestionario de seguridad de proveedores.