// línea outsourcing

// confianza & seguridad

Confianza, seguridad y compliance.

Lo que nuestros compradores verifican antes de firmar — consolidado, no enterrado en una página legal. NDA en 24 horas, cuestionarios de seguridad de proveedores devueltos en 3 días hábiles, plan de respuesta a incidentes por escrito.

Postura de compliance

Somos honestos sobre dónde estamos hoy y hacia dónde vamos. Sin certificaciones que no tenemos, sin redacción ambigua.

SOC 2 Type II
En camino al Type II

Políticas en su lugar, recolección de evidencia corriendo. Devolvemos vendor packets en 3 días hábiles. No declaramos un reporte SOC 2 vigente — es un ítem de roadmap, no una atestación actual.

ISO 27001
Camino de readiness

Controles documentados y alineados. Acompañamos a clientes en sus auditorías ISO 27001. Aún no estamos certificados nosotros mismos; somos honestos sobre la distinción.

GDPR
Alineado

La entidad argentina opera bajo el marco de adecuación de la UE. DPA estándar disponible; términos de procesamiento de datos pueden agregarse al MSA bajo pedido.

FIPS 140-3
Entregado

Hemos entregado trabajo de FIPS-readiness en producción para servicios criptográficos de clientes, incluyendo 17 self-tests de power-on, KATs y trail de auditoría. Nuestro HSM Enterprise tiene un roadmap de certificación FIPS 140-3.

PCI DSS
Entregado

Hemos operado dentro de sistemas con scope PCI-DSS para clientes fintech — payment gateways, migraciones de HSM, pipelines ISO 20022. No tenemos atestación PCI propia; trabajamos bajo las atestaciones de nuestros clientes.

Cómo aseguramos tu código

Prácticas concretas, no eslóganes. Estos son los defaults contractuales; engagements específicos pueden agregar controles adicionales.

  • NDA devuelto firmado dentro de 24 horas; firmamos el tuyo o enviamos el nuestro
  • Toda la IP del work-product se transfiere a vos al pago; escrito en cada SOW
  • Los secretos viven en tu vault — nunca almacenamos credenciales de producción en nuestra infraestructura
  • Commits firmados en Git; code review obligatorio de dos personas en cada PR
  • Análisis estático y escaneo de dependencias (SAST + SCA) en CI en cada cambio
  • Actualizaciones de dependencias con cadencia mensual y testing de regresión
  • Sin egress de datos sin aprobación explícita por escrito; engagements air-gapped soportados
  • SLA de notificación de incidentes escrito en el MSA

Seguridad del lado de las personas

Quién accede a tu código, y cómo se controla ese acceso.

  • Empleados directos de Craton; sin marketplace subcontratado, sin capas de body-shop
  • Verificación de antecedentes a cada ingeniero antes de tocar un repo de cliente
  • Cláusulas de confidencialidad en cada contrato laboral, vigentes post-terminación
  • MFA con respaldo en hardware en cada cuenta que toca sistemas del cliente
  • Provisioning de acceso por engagement; revocado dentro de un día hábil al offboarding
  • Revisiones trimestrales de acceso en engagements de larga duración

Frameworks que hemos entregado

Estos son los marcos regulatorios para los que nuestros engagements produjeron evidencia auditable, agrupados por industria. No son certificaciones que tengamos — son los estándares dentro de los cuales tu engagement va a operar, y bajo los que ya hemos trabajado antes.

Servicios financieros & fintech
PCI DSSSOC 2 Type IIISO 27001FIPS 140-3ISO 20022PSD2
Automotive & movilidad
ISO 26262 ASIL-B/DUN R155 / R156ISO 21434AUTOSAR AdaptiveTUF/Uptane
Industrial & IoT
IEC 62443NIST SP 800-82ModbusOPC-UAPROFINET
Sector público & gov-tech
ISO 27001SOC 2 Type IIWCAG 2.1 AAGDPR

Residencia y acceso a datos

Dónde viven tu código y tus datos, y quién puede tocarlos.

  • Default: los datos quedan en tu infraestructura; no replicamos datos de producción a la nuestra
  • Regiones cloud: AWS, GCP, Azure — fijadas a la región que tu contrato especifique
  • Engagements air-gapped soportados con acceso sólo on-prem
  • Logs de acceso preservados por la duración del engagement más 90 días post-terminación
  • Revocación al offboarding: SSO + repo + Slack + on-call dentro de un día hábil
  • Bajo pedido: ruteamos a través de tu VPN o gateway zero-trust en vez de acceso directo al repo

Respuesta a incidentes

Plan escrito, cadencia probada, SLAs de notificación definidos.

  • Plan de respuesta a incidentes por escrito; disponible para clientes bajo NDA
  • SLA de notificación: 24 horas para incidentes de seguridad confirmados que tocan tus datos
  • Post-mortem entregado por escrito dentro de 5 días hábiles desde la resolución
  • Ejercicios trimestrales de DR / IR en engagements MSP de larga duración
  • Rotación de on-call con paths de escalación documentados
  • Coordinación con tu lado: nos enchufamos a tu proceso de IR si tenés uno

// vendor security packet

¿Procurement haciendo preguntas duras?

Mandanos tu cuestionario de seguridad — habitualmente lo devolvemos dentro de 3 días hábiles, NDA firmado el primer día. O hablá con ingeniería directamente: no hay gating de llamada de ventas para preguntas técnicas de seguridad.

Enviar vendor packet →security@craton.com.ar