Arquitectura de Seguridad Safety-Critical

Defensa en profundidad para infraestructura financiera. Redes zero-trust, aislamiento multi-tenant y pistas de auditoría inmutables.

Solicitar una Demo Leer la Documentación

Arquitectura para Seguridad

Layer	Mechanism	Status
Gateway	Gateway API con terminación TLS, limitación de tasa y middleware de autenticación	Implementado
Aplicación	Contexto de tenant inyectado por gateway (X-Tenant-ID), nunca confiado del llamador. OAuth2 client_credentials por tenant.	Implementado
Base de datos	Row-Level Security por tenant. Rol no-superusuario para todas las consultas de aplicación.	Implementado

Cero exposición pública de los servicios de core banking. Las lecturas se ejecutan directamente contra el servicio financiero; las escrituras se enrutan a través del motor de ejecución duradera.

Protección de Datos

Cifrado en reposo	Cifrado de tablespace de base de datos, cifrado a nivel de archivo del motor de ledger
Cifrado en tránsito	TLS 1.3 en el gateway, red interna aislada para comunicación servicio-a-servicio
Aislamiento de datos	RLS por tenant, claves API con alcance de tenant
Trail de auditoría	Eventos de auditoría con hash SHA-256 encadenado (DORA Art. 11)
Retención	Configurable por jurisdicción (GoBD: 10 años, HGB §257)

Alineación Regulatoria

Regulation	Status	How FERNEL Addresses It
DORA (2022/2554)	Arquitectónicamente alineado	Cadena de dependencias mínima (~30 deps transitivas), journal de ejecución durable, auditoría con hash encadenado, reinicio determinista.
PSD2 (2015/2366)	Cubierto (core)	SCA vía OAuth2, seguimiento de fecha valor (Art. 87), taxonomía de R-transactions (Art. 71, 76).
PSD3/PSR	En monitoreo	VoP y responsabilidad por fraude aún no implementados. Análisis de brechas completado.
EMD2 (2009/110)	Cubierto (core)	Tipos de cuenta safeguarding, aislamiento de float, modelo de cuenta e-money.
AMLD5/6	Cubierto (core)	Screening AML, KYC/KYB, motor de políticas CDD, gestión de listas negras.
GDPR (2016/679)	Diseñado para	Minimización de datos, derecho al olvido (soft-delete con auditoría), registros de procesamiento.
NIS2 (2022/2555)	En monitoreo	Reporte de incidentes y evaluación de cadena de suministro planificados.
IPR (2024/886)	Planificado	Arquitectura SEPA Instant definida. SLA de 10 segundos, disponibilidad 24/7 pendiente.

Fernel proporciona bases arquitectónicas diseñadas para un cumplimiento regulatorio estricto. La certificación requiere una auditoría formal.

Transparencia de Cadena de Suministro

Servicio del núcleo financiero	~15 dependencias externas, ~30 transitivas
Motor de ejecución durable	Dependencias mínimas curadas, grafo de dependencias auditable
Interfaz de gestión	Árbol de dependencias más grande, pero fuera de la ruta financiera crítica

Alineación DORA Art. 15: evaluación de riesgo de terceros ICT para todos los proveedores críticos. El núcleo financiero está construido sobre un stack de sistemas de alto rendimiento con una huella de dependencias deliberadamente mínima.

Respuesta y Recuperación ante Incidentes

Cada operación que cambia estado es registrada por el motor de ejecución durable. La recuperación después de un fallo significa reproducir el journal desde el último checkpoint. No se requiere intervención manual para fallos de infraestructura transitorios.

El motor del ledger usa un log write-ahead replicado con checksums end-to-end de 128 bits y serialización estricta. El archivado continuo proporciona backup a nivel de base de datos. La replicación nativa del ledger proporciona redundancia a nivel de engine. Sin ventanas de mantenimiento programado para el ledger (diseñado para operación 24/7).

Lo Que Aún No Tenemos

Certificación SOC 2 Type II: planificada, aún no obtenida.
Certificación ISO 27001: planificada, aún no obtenida.
Informe de prueba de penetración: programado, aún no completado.
PCI-DSS: no aplicable (no se almacenan datos de tarjeta directamente).

Publicamos esta sección porque la transparencia sobre nuestro estado actual es más valiosa que reclamar certificaciones que no tenemos.