Arquitectura y Seguridad
Diseñamos 6Sigma Certify con principios de seguridad por diseño. Este documento describe nuestra arquitectura actual con honestidad, distinguiendo lo implementado de lo que está en roadmap.
Arquitectura multi-tenant
Cada organización cliente está aislada en su propio espacio lógico dentro de PostgreSQL gestionado por Supabase. Los datos se filtran por organization_id en cada consulta y se aplican políticas Row Level Security (RLS) a nivel de base de datos.
Audit log de acciones
Las acciones relevantes (subida de evidencia, análisis IA, gestión de no conformidades, ejecución de procesos) quedan registradas en una tabla de auditoría con usuario, timestamp y metadatos asociados.
Infraestructura Vercel + Supabase
La aplicación corre en Vercel (red CDN global, regiones de EE.UU. principalmente). La base de datos y el almacenamiento de archivos están en Supabase, sobre infraestructura AWS. Las copias de seguridad y la disponibilidad dependen del plan de Supabase contratado.
Autenticación con Supabase Auth
Manejo de sesiones, tokens y password reset gestionado por Supabase Auth. Los archivos confidenciales se acceden mediante URLs firmadas con expiración corta (5 minutos), nunca vía enlaces públicos.
Cifrado y transporte
Todo el tráfico hacia la plataforma viaja sobre TLS 1.3 con HSTS habilitado y política preload de 2 años. Los archivos en almacenamiento están cifrados en reposo por la infraestructura subyacente (Supabase Storage). El acceso a documentos siempre requiere una URL firmada generada por el servidor previa validación de sesión.
Headers de seguridad
- Strict-Transport-Security (HSTS) con includeSubDomains y preload
- X-Frame-Options: DENY (anti-clickjacking)
- X-Content-Type-Options: nosniff
- Referrer-Policy: strict-origin-when-cross-origin
- Content-Security-Policy con orígenes permitidos explícitos
- Permissions-Policy: cámara, micrófono y geolocalización deshabilitadas
Inteligencia Artificial
Los modelos de IA que analizan documentos corren en proveedores externos (Groq, Google Gemini). El texto de los documentos se envía al modelo únicamente para generar el dictamen y no se persiste en sistemas del proveedor más allá de la sesión de inferencia. Los acuerdos contractuales específicos sobre retención de datos varían según el proveedor y plan; los detalles están disponibles bajo NDA para clientes corporativos.
En roadmap
Las siguientes capacidades están planificadas pero aún no implementadas: autenticación multifactor (MFA/TOTP), Single Sign-On corporativo (SAML/OIDC), Web Application Firewall (WAF), backups Point-in-Time Recovery configurables y región de datos seleccionable por cliente. Si tu organización requiere alguna de estas funciones para una compra empresarial, contactanos.
Reporte de vulnerabilidades
Si descubrís una vulnerabilidad, contactanos a seguridad@6sigma.com.ar. Respondemos en menos de 72 horas y trabajamos en coordinación responsable con quienes reportan.
Última revisión: 2026-05-22