Saltar al contenido
Prysm:ID Prysm:ID
Empezar gratis

Seguridad

Lo que tu legal te va a pedir antes de firmar.

Sin badges falsos. Sin "best-in-class enterprise-grade". Esto es lo que efectivamente protege la auth de tus clientes hoy, y lo que estamos preparando para los próximos meses.

Estado de compliance

Prefiero ser honesto antes que mostrarte un sticker que no firmé. Lo que sí está vivo, está marcado en verde. Lo que estamos preparando, en ámbar.

En preparación

SOC 2

Fase II prevista 2026 Q4. No mostramos badge porque todavía no lo tenemos firmado.

DPA disponible

GDPR / LGPD / Habeas Data

Para clientes Enterprise, addenda específicos por región.

Programado

Penetration test

Test externo previsto 2026 Q3. Reporte público al cierre del engagement.

Apache 2.0

Open foundation

Zitadel es auditable en GitHub. Tu legal puede leerlo.

Encryption

Toda comunicación entre clientes, dashboard, API y Zitadel viaja sobre TLS 1.2+ con HSTS habilitado. Datos en reposo encriptados con AES-256 a nivel de volumen EBS. Las contraseñas se hashean con argon2id (parámetros recomendados de OWASP), gestionado por Zitadel — Prysm:ID nunca ve la contraseña en claro.

Aislamiento por tenant

Cada workspace de Prysm:ID es una instance Zitadel separada con base lógica aislada. No hay 'organizaciones' compartiendo schema. Cuando tu cliente enterprise audite, podemos demostrar el aislamiento físico contra los logs de Zitadel.

Data residency

Hoy: us-east-1 (AWS Northern Virginia). Plan Enterprise: eu-west-1 (Irlanda) y on-prem assistance. Si tu compliance exige una región específica, escribinos antes de evaluar — la respuesta es honesta, no comercial.

Audit log

Cada acción sensible (login, creación de app OIDC, cambio de IdP, invitación de usuario, export de directorio) queda registrada con timestamp, actor y diff. Retención: 7 días en Free, 90 días en Pro, configurable hasta "forever" en Enterprise.

Backups

Backups automáticos diarios del Postgres del orquestador y de cada instance Zitadel, retención rolling de 30 días. Tested restore mensual (procedimiento documentado en infrastructure/docs/RESTORE.md).

Acceso a infraestructura

El acceso SSH a los EC2 de producción está cerrado a internet (puerto 22 deny-all). Toda operación se realiza vía AWS SSM Session Manager con IAM role, MFA obligatorio para fernando-cli. Logs de SSM persistidos en CloudWatch.

Secrets management

Sin secretos hardcoded en repos. Tokens, claves SSH y credenciales viven en AWS SSM Parameter Store bajo /prysmid/prod/* con encryption KMS. Acceso vía IAM roles con least-privilege; ningún dev tiene admin permanente.

DPA y contratos

Plan Enterprise incluye Data Processing Agreement (DPA) firmado, addenda específicos para LGPD (Brasil), Habeas Data (Argentina) y GDPR (UE). Plan Pro y Free se rigen por los términos públicos. Para cualquier consulta contractual, escribí a legal@prysmid.com.

¿Encontraste un bug de seguridad?

Mandalo a security@prysmid.com. Te respondemos en menos de 24h hábiles. Si el reporte es válido y no público, coordinamos disclosure responsable y reconocimiento.

Para consultas de DPA o contratos: legal@prysmid.com.

El código del motor de auth (Zitadel) está disponible públicamente en GitHub. Tu equipo de seguridad puede leerlo, auditarlo, levantarlo en una sandbox. Eso no es marketing — es una URL pública.