Invigo Logo
Volver al Inicio
Volver a la página principal

Seguridad y Aislamiento de Datos

En Invigo, entendemos que la logística y el almacenamiento aduanero de mercancías son operaciones críticas sujetas a estrictas regulaciones y altos niveles de confidencialidad. Por ello, la seguridad y la soberanía de los datos de nuestros clientes son la base de toda nuestra arquitectura de software.

1. Modelo de Seguridad en 3 Niveles (KMS)

Ofrecemos flexibilidad total en el control y la soberanía de las llaves de cifrado para adaptarnos al perfil de cumplimiento y gobernanza de cada corporación:

  • Nivel 1 – Managed Keys (Por defecto): El proveedor gestiona y custodia las llaves maestras en su propio KMS (Key Management Service) dedicado. Ideal para una rápida implementación y pymes que no requieren alta regulación criptográfica.
  • Nivel 2 – Customer Controlled Key (Hospedada): Cada cliente tiene su propia Llave Maestra (KEK - Key Encryption Key) dedicada, alojada y aislada de forma segura en el KMS del proveedor.
  • Nivel 3 – True BYOK (Bring Your Own Key): La KEK maestra reside y es controlada al 100% en el proveedor de nube del cliente (AWS KMS, Azure Key Vault o Google Cloud KMS). Si el cliente deshabilita el acceso a su llave, el sistema pierde el acceso a sus datos de forma inmediata e irreversible.

2. Cifrado de Envoltura (Envelope Encryption)

Para garantizar la máxima seguridad sin degradar el rendimiento del sistema, implementamos el cifrado de envoltura mediante dos niveles de llaves:

  • KEK (Key Encryption Key): Reside de forma segura en el KMS externo. Su única función es cifrar y descifrar la DEK.
  • DEK (Data Encryption Key): Llave simétrica AES-256 única por cliente que cifra directamente los datos sensibles. Se almacena de forma segura en formato cifrado en la base de datos PostgreSQL.

3. Aislamiento Físico y Cero Conocimiento (Zero-Knowledge)

Nuestra arquitectura garantiza el aislamiento total de los datos de cada cliente:

  • Base de Datos Dedicada (Zero Pollution): Cada inquilino opera en su propia base de datos física dedicada. No mezclamos registros comerciales en tablas compartidas.
  • Cifrado Selectivo a Nivel de Aplicación: La información personal identificable (PII) de contactos, clientes, correos y RNC/Cédula se cifra en la aplicación antes de persistirse en la base de datos, impidiendo que administradores de bases de datos (DBAs) o terceros no autorizados puedan leerla en texto plano.
  • Anonimización de Datos Operativos: Los datos operativos críticos (números de chasis, barras y ubicaciones) se almacenan en texto plano para búsquedas eficientes en inventario, pero están asociados únicamente a códigos hashes y claves anónimas de clientes, imposibilitando correlacionar la carga física con la identidad de la empresa dueña sin acceso a las llaves criptográficas de la aplicación.

4. Almacenamiento Seguro de Archivos

Todos los adjuntos, documentos aduanales, manifiestos y PDFs transmitidos al almacenamiento de objetos (AWS S3) se cifran de forma independiente. Cada archivo individual recibe una llave única generada al vuelo cifrada con la KEK del cliente, asegurando la privacidad absoluta de los manifiestos comerciales.