Seguridad y Cumplimiento

Última actualización: 20 de abril de 2026

Bluite maneja algunos de los datos más sensibles dentro de una organización comercial: la compensación de cada representante, cada período de pago, cada regla de plan. Diseñamos la postura de seguridad de Bluite para estar a la altura de lo que nuestros clientes en la industria farmacéutica y de dispositivos médicos esperan — donde la trazabilidad, el control de auditoría y el gobierno de datos no son opcionales.

1. Identidad y acceso

1.1 Inicio de sesión único (SSO)

Bluite soporta SSO empresarial a través de protocolos estándar (SAML 2.0 y OpenID Connect / OAuth 2.0). Nos integramos con los proveedores de identidad que nuestros clientes ya utilizan, incluyendo Microsoft Entra ID (Azure AD), Google Workspace, Okta y otros IdPs compatibles con SAML.

1.2 Control de acceso basado en roles

Cada usuario en Bluite tiene asignado un rol con los permisos mínimos requeridos para su función — representante, gerente, administrador de comisiones, finanzas o auditor. Las acciones administrativas sobre reglas de comisiones y aprobaciones de pago están controladas por rol y quedan registradas.

1.3 Autenticación multifactor

Para clientes que no utilizan SSO, Bluite exige autenticación multifactor (MFA) en cuentas administradoras. MFA para usuarios finales está disponible y es recomendada.

2. Protección de datos

2.1 Cifrado en tránsito

Todo el tráfico hacia y desde Bluite se cifra con TLS 1.2 o superior. Las conexiones HTTP se redirigen automáticamente a HTTPS. HSTS está habilitado en nuestros dominios de producción.

2.2 Cifrado en reposo

Los datos de cliente, incluyendo cálculos de comisiones, registros de ventas y metadata de empleados, se cifran en reposo usando cifrado AES-256 estándar de la industria a través de nuestra infraestructura gestionada en la nube.

2.3 Gestión de secretos

Credenciales de API, contraseñas de base de datos y tokens de integración se almacenan en bóvedas de secretos gestionadas — nunca en control de versiones ni en archivos de configuración en texto plano.

3. Controles operativos y postura de proveedores

3.1 Postura frente a SOC 2

Bluite es una compañía en etapa temprana y aún no está certificada en SOC 2 como empresa. Sin embargo, el producto está construido sobre un stack de infraestructura de proveedores que sí mantienen certificaciones SOC 2 Tipo II (o equivalentes) activas, incluyendo Supabase (Postgres administrado y auth), Auth0 (identidad), Railway (hosting de aplicaciones) y Vercel (edge / CDN). Bluite hereda los controles de estos proveedores certificados y agrega sobre ellos nuestras propias prácticas operativas: control de acceso basado en roles, registros de auditoría, gestión cifrada de secretos y flujos de gestión de cambios. Clientes con requisitos específicos de certificación o preguntas sobre nuestro roadmap de cumplimiento pueden escribirnos a carlos@bluite.co.

3.2 Registro de auditoría

Cada cálculo, cambio de regla, aprobación y acción de pago se registra con el actor, la fecha y el contexto. Esto genera una pista de auditoría inmutable de extremo a extremo — requisito crítico para finanzas, auditoría interna y revisión regulatoria.

3.3 Respaldos y recuperación ante desastres

Realizamos respaldos automatizados diarios de todos los datos de cliente, con recuperación punto-en-el-tiempo disponible. Los respaldos se retienen por 30 días por defecto, con retención extendida disponible bajo SLA a medida. Los procedimientos de restauración están documentados y probados.

3.4 Disponibilidad y SLA

Bluite ofrece SLAs de disponibilidad adaptados a cada engagement. Los compromisos típicos incluyen 99.9% de uptime mensual y tiempos de respuesta definidos para incidentes de severidad 1. Los términos completos del SLA se proveen como parte del Contrato Marco de Servicios.

3.5 Gestión de vulnerabilidades

Bluite aplica parches de seguridad sobre la infraestructura gestionada dentro de las ventanas recomendadas por el proveedor y ejecuta escaneo de dependencias en nuestro pipeline de CI. Las vulnerabilidades críticas se remedian en un cronograma acelerado.

4. Privacidad y gobierno de datos

Bluite procesa los Datos del Cliente en calidad de encargado del tratamiento, en nombre de nuestros clientes. No usamos los Datos del Cliente para entrenar modelos de machine learning, no los vendemos, y no los compartimos con terceros salvo lo requerido para operar el Servicio (por ejemplo, infraestructura gestionada en la nube y entrega de correo). Ver nuestra Política de Privacidad para el detalle completo.

4.1 Residencia de datos

Los datos de producción están alojados en regiones geográficas seleccionadas para alinearse con las expectativas de residencia de datos de nuestros clientes. Clientes con requerimientos específicos de residencia deben plantearlos durante el proceso de contratación.

4.2 Subencargados

Mantenemos una lista de subencargados utilizados para entregar el Servicio (hosting en la nube, correo, analítica, herramientas de soporte). La lista actualizada está disponible a solicitud y se actualiza cuando ocurren cambios materiales.

5. Respuesta a incidentes

Bluite mantiene un proceso documentado de respuesta a incidentes. En caso de un incidente de seguridad confirmado que afecte los Datos del Cliente, notificaremos a los clientes afectados sin demora indebida, conforme a la ley aplicable y nuestros acuerdos de tratamiento de datos, y proveeremos información sobre alcance, causa raíz y remediación.

6. Reportar una preocupación de seguridad

Si crees haber encontrado una vulnerabilidad de seguridad en Bluite, escríbenos a carlos@bluite.co. Valoramos el reporte responsable y confirmaremos la recepción en un plazo de dos días hábiles.

7. Preguntas frecuentes

¿Está Bluite certificado en SOC 2?

Aún no como empresa. Nuestros proveedores de infraestructura (Supabase, Auth0, Railway, Vercel) sí mantienen certificaciones SOC 2 Tipo II (o equivalentes) activas, y construimos sobre esos controles. Una atestación SOC 2 a nivel Bluite está planeada a medida que escalamos. Clientes con preguntas sobre los tiempos de certificación pueden escribirnos a carlos@bluite.co.

¿Bluite firma un Acuerdo de Procesamiento de Datos (DPA) personalizado?

Sí. Ejecutamos DPAs alineados con GDPR y con la ley colombiana de protección de datos (Ley 1581 de 2012) como parte de los engagements enterprise.

¿Pueden responder un cuestionario de seguridad?

Sí. Rutinariamente respondemos cuestionarios de seguridad de proveedores (SIG, CAIQ, personalizados). Envía el cuestionario a carlos@bluite.co.