Seguridad CVS — RBAC multitenant, modelos de despliegue y aislamiento de datos

Control de acceso

RBAC multitenant con SSO, desde el tenant hasta cada evento de auditoría.

El acceso en CVS sigue una jerarquía estricta: Tenant → Instancia → Espacio de trabajo/Departamento → Rol → Usuario → Permiso → Evento de auditoría. Cada tenant está aislado de todos los demás, y las instancias particionan el conocimiento dentro de un tenant de modo que un departamento solo ve aquello a lo que tiene derecho.

La identidad se gestiona a través de vuestro SSO existente vía SAML u OIDC, con RBAC en el núcleo y políticas ABAC opcionales para reglas basadas en atributos. Cada consulta y cada acceso a una pieza de prueba se escribe en una pista de auditoría a prueba de manipulaciones — el estándar de mínimo necesario aplicado en el software, no en documentos de política.

Jerarquía: Tenant → Instancia → Espacio de trabajo/Departamento → Rol → Usuario → Permiso → Evento de auditoría
SSO vía SAML u OIDC; RBAC con políticas de atributos ABAC opcionales
Aislamiento estricto por tenant y por instancia — sin fugas entre tenants por diseño
La pista de auditoría registra cada consulta y cada acceso a pruebas para cumplimiento y revisión de incidentes

**RBAC multitenant con SSO, desde el tenant hasta cada evento de auditoría..** El acceso en CVS sigue una jerarquía estricta: Tenant → Instancia → Espacio de trabajo/Departamento → Rol → Usuario → Permiso → Evento de auditoría. Cada tenant está aislado de todos los demás, y las instancias particionan el conocimiento dentro de un tenant de modo que un departamento solo ve aquello a lo que tiene derecho.

Despliegue

Cuatro modelos de despliegue sobre un gradiente de control.

CVS abarca todo el rango desde el arranque más rápido hasta el control máximo: CVS Cloud, Nube dedicada, Self-Hosted y Air-Gap. Cloud os pone en marcha en menos de 48 horas con actualizaciones gestionadas; la nube dedicada da aislamiento mono-cliente en vuestra región de AWS, Azure o GCP con cifrado de claves propias (BYOK).

Self-Hosted se ejecuta enteramente dentro de vuestro perímetro sobre Docker Compose o Kubernetes, con LLM locales servidos a través de Ollama o vLLM. Air-Gap va más allá — cero llamadas a API externas, sin telemetría, sin phone-home, con actualizaciones entregadas en soporte físico. Cada nivel admite la misma postura genérica de cumplimiento: controles alineados con SOC 2, RGPD y HIPAA.

CVS Cloud, Nube dedicada, Self-Hosted y Air-Gap — elegid vuestro punto en el gradiente de control
Self-hosted sobre Docker Compose o Kubernetes con LLM locales vía Ollama o vLLM
Air-gap: cero llamadas externas, sin telemetría, actualizaciones por soporte físico seguro
Cifrado BYOK, nube dedicada mono-cliente y controles alineados con SOC 2 / RGPD / HIPAA en todos los modelos

**Cuatro modelos de despliegue sobre un gradiente de control..** CVS abarca todo el rango desde el arranque más rápido hasta el control máximo: CVS Cloud, Nube dedicada, Self-Hosted y Air-Gap. Cloud os pone en marcha en menos de 48 horas con actualizaciones gestionadas; la nube dedicada da aislamiento mono-cliente en vuestra región de AWS, Azure o GCP con cifrado de claves propias (BYOK).

Aislamiento

Aislamiento de datos por capas, de extremo a extremo.

CVS aísla los datos en cada capa del camino de la petición: Usuario/SSO autentica a quien llama; el API gateway aplica la política; la frontera del tenant y la frontera de la instancia particionan el conocimiento; almacenes cifrados guardan los datos en reposo; y la generación de respuestas se ejecuta contra un backend LLM local o explícitamente aprobado. Cada paso aterriza en la pista de auditoría.

En los modos self-hosted y air-gap el perímetro es absoluto — datos, modelos, índices, respuestas y registros permanecen dentro de vuestro entorno, cifrados con AES-256 en reposo y TLS 1.3 en tránsito. Esto es soberanía de ejecución completa, la arquitectura tras el cumplimiento genérico de SOC 2, RGPD y HIPAA en lugar de un sello de marketing.

Camino de la petición: Usuario/SSO → API gateway → frontera del tenant → frontera de la instancia → almacenes cifrados → LLM aprobado → pista de auditoría
Generación de respuestas únicamente contra backends LLM locales (Ollama/vLLM) o explícitamente aprobados
AES-256 en reposo, TLS 1.3 en tránsito; datos, modelos, índices y registros permanecen en vuestro perímetro
Arquitectura diseñada para satisfacer los requisitos de control de SOC 2, RGPD y HIPAA

**Aislamiento de datos por capas, de extremo a extremo..** CVS aísla los datos en cada capa del camino de la petición: Usuario/SSO autentica a quien llama; el API gateway aplica la política; la frontera del tenant y la frontera de la instancia particionan el conocimiento; almacenes cifrados guardan los datos en reposo; y la generación de respuestas se ejecuta contra un backend LLM local o explícitamente aprobado. Cada paso aterriza en la pista de auditoría.

Perímetro cerrado

Su infraestructura. Sus reglas.

No es «residencia de datos», sino soberanía total de ejecución: datos, modelos, índices, respuestas y auditoría — todo dentro de su perímetro. Cumplimiento en México, Colombia, Argentina y Chile simultáneamente.

Inicio rápido

CVS Cloud

En línea en menos de 48 horas
Actualizaciones y parches automáticos
SLA 99.9%
Datos en región latinoamericana (AWS GRU, Azure Brasil)

Equilibrio de control

Nube dedicada

Aislamiento single-tenant
AWS (São Paulo, Virginia), Azure, GCP
Llaves de cifrado propias (BYOK)
VPC peering, SLA hasta 99.99%

Control total

Self-Hosted

Los datos nunca salen de su perímetro
LLMs locales vía Ollama/vLLM
Docker Compose o Kubernetes
Cumplimiento LFPDPPP / Habeas Data / Ley 1581

Seguridad máxima

Air-Gap

Cero llamadas a APIs externas
Sin telemetría, sin phone-home
Actualización vía medio seguro
Para requisitos de minería remota y defensa

LFPDPPP (México)CONPES 4144 (Colombia)Habeas Data (Argentina)Ley 21.719 (Chile)AES-256 / TLS 1.3RBAC + SSO

Vuestra infraestructura, vuestras reglas — los datos nunca salen de vuestro perímetro.