Saltar al contenido principal

Seguridad y Cumplimiento Normativo

VaultPAM está diseñado para entornos regulados. Utilice esta sección cuando necesite comprender cómo el producto admite controles de seguridad, dónde residen los datos y cómo responder a un cuestionario de cumplimiento normativo.

Postura SOC 2

VaultPAM admite familias de controles comunes a través de:

  • MFA y MFA escalonada para acciones sensibles
  • Grabación de sesiones para la responsabilidad del usuario
  • Registro de auditoría para eventos administrativos y de acceso
  • Puertas de aprobación en Safes de alto riesgo
  • Aislamiento de red a través del modelo Connector

Residencia de datos

  • La arquitectura de referencia actual utiliza la región de GCP eu-west1.
  • Los datos del inquilino se dividen entre PostgreSQL con alcance de inquilino y almacenamiento de objetos MinIO.
  • Los metadatos de sesión, las grabaciones y los registros de auditoría permanecen asociados con el inquilino y se retienen de acuerdo con la política configurada.

Acceso a auditoría

  • Los registros de auditoría pueden revisarse en la consola.
  • La exportación a CSV está disponible para revisión posterior.
  • La retención está impulsada por políticas y debe coincidir con sus controles internos.

Cifrado y gestión de credenciales

  • El tráfico se cifra en tránsito con TLS 1.3 o posterior.
  • Los datos en reposo están protegidos por AES-256 a través de la capa de almacenamiento y claves gestionadas por GCP.
  • Las credenciales se inyectan en tiempo de sesión a través de OpenBao y no se exponen en texto sin cifrar a los usuarios finales.

Alcance de cumplimiento normativo

VaultPAM está diseñado para admitir la alineación con SOC 2 e ISO 27001. Las responsabilidades de procesador GDPR, eIDAS y consideraciones de NIS2 deben validarse contra la configuración de su implementación y las obligaciones contractuales.

Informar de una vulnerabilidad

Si ha encontrado un problema de seguridad en VaultPAM, consulte nuestra Política de Divulgación de Vulnerabilidades.

¿Necesita evidencia?

Póngase en contacto con su canal de soporte o éxito de clientes para obtener cuestionarios de cumplimiento normativo, notas de arquitectura y paquetes de evidencia.