Seguridad y Cumplimiento
DDash es una capa de monitoreo de solo lectura. Se conecta vía API y webhooks. No inicia, no enruta, no graba ni modifica llamadas.
Infraestructura
Proveedor Cloud
AWS (US-West-2, Oregón)
Cómputo
AWS Lightsail, Docker Compose
Base de Datos
TimescaleDB (PostgreSQL 16)
Mensajería
Redis 7.x pub/sub
Servidor Web
nginx con terminación TLS
Frontend
React + Vite, assets estáticos
Cifrado
En Tránsito
TLS 1.2+ en todas las conexiones. HTTPS obligatorio.
En Reposo
Cifrado a nivel de volumen AWS para todo el almacenamiento.
Arquitectura de Eventos Inmutable
Aislamiento de dos bases de datos para integridad y no repudio.
Base Operacional
Estado actual de agentes, llamadas activas, datos en tiempo real. Lectura/escritura.
Archivo de Eventos
Registro inmutable de solo adición. Permisos solo INSERT. Sin UPDATE/DELETE.
Ningún servicio tiene credenciales para ambas bases de datos. Aislamiento impuesto a nivel de contenedor y credenciales.
Controles de Acceso
Autenticación
Microsoft Entra, Google, GitHub, Discord, credenciales locales. SAML en nivel Enterprise.
Autorización
RBAC con cuatro roles: admin, supervisor, operador, usuario. Principio de mínimo privilegio.
Red
Grupos de seguridad AWS. Sin puertos de base de datos públicos. Contenedores Docker en red privada.
Manejo de Datos
Recopilamos
- • Eventos de estado de agentes
- • Metadatos de llamada (ID, hora, duración)
- • Métricas de cola
- • Identificadores de usuario (nombre, email, extensión)
No Recopilamos
- • Audio o grabaciones de llamadas
- • Contenido de buzón de voz
- • Contenido SMS/video
- • SSN o datos financieros
Retención por defecto: 90 días (configurable). Respaldos: snapshots de 7 días. Notificación de brecha: 72 horas.
Posición de Cumplimiento
| Marco | Estado |
|---|---|
| GDPR | SCCs, DPA (todos los niveles), asistencia en derechos de sujetos de datos |
| CCPA | Sin venta/compartición de información personal. Eliminación en 30 días. |
| HIPAA | No se procesa PHI. BAA disponible nivel Enterprise. |
| SOC 2 | En la hoja de ruta. Controles consistentes con TSC. |
| PCI DSS | No aplica — no se procesan datos de tarjetas de pago. |
Documentos Legales
Preguntas de seguridad o reportes de vulnerabilidades:
security@rprtechnologies.com