Trust center

At Kuona, we know your data is one of your most valuable assets. That’s why we’re committed to the highest standards of security, privacy, and transparency—so you can focus on growing your business with confidence.

ISO 27001

International standard for information security management.

GDPR

European regulation for data privacy and protection.

Trust starts with transparency.

Read our Service Level Agreement (SLA) to learn more about the uptime, support, and performance you can expect from Kuona.

Security Pilars

Built on a foundation of security best practices

We apply security controls at every level—from infrastructure and applications to internal processes and people. These pillars show how Kuona protects your data, ensures compliance, and helps you operate with confidence.

Product Security

(MFA) Multifactor Authentication

Se exige múltiples formas de verificación, como contraseñas y códigos de autenticación, para acceder a sus sistemas y aplicaciones. Esto añade una capa extra de protección, asegurando que solo usuarios legítimos puedan interactuar con el producto, reduciendo el riesgo de accesos no autorizados.

Audit Logs

Se registran todas las actividades y eventos dentro de sus sistemas y aplicaciones. Estos registros permiten [rastrear cambios, detectar anomalías y garantizar la integridad del producto], facilitando la identificación y resolución de problemas de seguridad, y asegurando el cumplimiento de normativas y estándares de calidad.

Equipment Permissions

Se asignan y gestionan permisos específicos para cada usuario o grupo de trabajo. Esto garantiza que solo personal autorizado pueda acceder o modificar componentes críticos del producto, protegiendo la integridad y seguridad del sistema frente a cambios no autorizados y potenciales vulnerabilidades.

Data Security

Physical security

Se implementan controles de acceso variados como cámaras de vigilancia, registros de actividad y sistemas de autenticación que permiten asegurar que solamente el personal autorizado pueda acceder a áreas donde se almacenan datos sensibles, protegiendo la integridad y confidencialidad de la información.

Activated backups

Access monitoring

Se realiza gestión y seguimiento de altas y bajas de accesos a activos utilizados por la empresa durante una alta de nuevo personal, la operación normal y las bajas de personal. Garantizando que solo usuarios autorizados puedan interactuar con datos sensibles.

Company Security

Internal auditing

Se realizan revisiones periódicas de sus procesos y controles de seguridad. Estas auditorías identifican vulnerabilidades, verifican el cumplimiento de políticas internas y normativas, y proponen mejoras, asegurando la efectividad de las medidas de seguridad y la protección continua de los activos y la información de la organización.

Manejo de incidentes

Se establecen procedimientos claros para detectar, responder y recuperar rápidamente de incidentes de seguridad. Esto incluye la identificación de amenazas, la comunicación efectiva y la mitigación de daños, asegurando la continuidad operativa y la protección de la información crítica de la organización.

Capacitación de personal en introducción a seguridad de la información

Se proporciona formación inicial sobre prácticas seguras, manejo de datos sensibles y detección de amenazas. Esto asegura que los empleados entiendan su papel en la protección de la información, reduciendo riesgos y fortaleciendo la postura de seguridad de la organización.

Revisión de activos

Se realizan inventarios y evaluaciones periódicas de sus activos físicos y digitales. Esto permite identificar vulnerabilidades, asegurar la protección de datos críticos y garantizar que los recursos estén correctamente gestionados, contribuyendo a una mejor seguridad y resiliencia organizacional.

Social engineering

Se entrena y capacita al personal en ingeniería social mediante pruebas reales para reconocer y evitar intentos de manipulación y fraude. Implementa políticas de verificación estrictas y fomenta la conciencia sobre técnicas engañosas, como el phishing, asegurando que los empleados estén preparados para proteger la información sensible y minimizar riesgos de seguridad.

Manejo de Riesgos

Se identifican, evaluan y priorizan periodicamente posibles amenazas a sus operaciones y activos. Se implementan estrategias de mitigación y planes de contingencia para reducir la probabilidad e impacto de incidentes, asegurando la continuidad del negocio y la protección de sus recursos críticos.

Monitoreo de Credenciales Filtradas de personal

Se utilizan herramientas para detectar credenciales comprometidas en la web. Se alerta a los empleados y forzar cambios de contraseña, evitando accesos no autorizados y protegiendo la integridad de los sistemas y datos de la organización.

Infrastructure Security

Cloud Services

Se implementan controles de acceso robustos, encriptación de datos y monitoreo constante de actividades en AWS. Estas medidas protegen la infraestructura en la nube contra accesos no autorizados, pérdidas de datos y amenazas cibernéticas, asegurando la integridad y disponibilidad de los recursos y servicios alojados.

Business Continuity Plan

Se desarrollan estrategias y procedimientos para mantener operaciones críticas durante y después de una interrupción. Esto incluye respaldo de datos, recuperación ante desastres y redundancia de sistemas, garantizando que la empresa pueda seguir funcionando y minimizando el impacto en caso de incidentes imprevistos.

Disaster Recovery Plan

Se stablecen procedimientos para restaurar rápidamente sistemas y datos críticos tras un desastre. Esto incluye copias de seguridad regulares, sitios de recuperación alternativos y equipos de respuesta, asegurando la continuidad operativa y minimizando pérdidas y tiempos de inactividad ante eventos catastróficos.

Application Security

Cloud (AWS) Server Monitoring

Se supervisa continuamente las configuraciones de seguridad de los servidores en la nube de AWS. Esto permite detectar anomalías, prevenir brechas de seguridad y asegurar que las aplicaciones alojadas se mantengan protegidas contra amenazas, garantizando su disponibilidad e integridad.

Business Suite Monitoring

Se supervisa continuamente la plataforma de gestión empresarial que es Google Workspace. Esto permite asegurar la buena configuración de los parámetros y proteger la integridad de los datos, garantizando que las aplicaciones críticas de negocio operen de manera segura.

Network Security

DKIM configuration monitoring

Se verifica regularmente la integridad y autenticidad de los correos electrónicos mediante firmas criptográficas. Esto asegura que los correos no sean alterados durante el tránsito y provengan de fuentes legítimas, protegiendo contra suplantación de identidad y asegurando la confianza en la comunicación por correo electrónico.

SPF configuration monitoring

Se revisa y actualiza regularmente los registros SPF. Esto asegura que solo servidores autorizados puedan enviar correos desde sus dominios, protegiendo contra el spoofing y mejorando la seguridad del correo electrónico al prevenir que mensajes falsificados lleguen a los destinatarios.

Network penetration testing

Se simulan ataques, mediante Pentesting, controlados para identificar vulnerabilidades en los sistemas. Estas pruebas permiten descubrir puntos débiles, evaluar la efectividad de las medidas de seguridad existentes y mejorar la protección contra posibles ciberataques, garantizando una red más segura y robusta.

Monitoreo de configuración DMARC

Se supervisa y ajusta constantemente nuestra política DMARC. Esto protege contra el phishing y el uso indebido de dominios, garantizando que solo correos electrónicos legítimos sean enviados desde sus dominios, mejorando la autenticidad y la seguridad en la comunicación por correo electrónico.

Privacy

General Data Protection Regulation (GDPR)

Data Processing Agreement (DPA)

Documents

This section provides documentation of the implemented security protocols. For further inquiries, please contact our team at privacy@kuona.ai

Política de SGSI

Alcance del SGSI

Estructura de SI

Política de Seguridad de la Información

Política de Comité de Seguridad de la Información

Procedimiento de Anonimización de Datos Personales

Política de Tratamiento de la Información

Descriptivo de roles y responsabilidades

Plan de Seguridad de la Información

Programa de Capacitación

Taller de Concientización de Seguridad

Taller de Gestión de Riesgos

Metodología de Gestión de Riesgos

Inventario de Activos

Matriz de riesgos

Declaración de Aplicabilidad

Minuta de Sesión de Comité de Seguridad

Procedimiento de Preselección y Selección de Personal

Proceso de Contratación y Desvinculación de Personal

Matriz SOD

Matriz de Accesos basada en Roles

Procedimiento Gestión de Accesos

Procedimiento de Revisión de Accesos

Política BYOD | Trae tu dispositivo

Política de Escritorios Limpios

Política de Tecnología y Operaciones de TI

Procedimiento Gestión de Incidentes de Seguridad

Procedimiento de Gestión de Backups

Procedimiento de Gestión de Cambios Productivos

Procedimiento de Gestión de Claves Públicas y Privadas

Política de Gestión de Logs

Procedimiento de Gestión de Logs

Procedimiento de Gestión de Vulnerabilidades

Diagrama de Infraestructura

Plan de Recuperación ante Desastres

Plan de Continuidad

Política de Desarrollo Seguro

Metodología de Ciclo de Vida de Desarrollo

Guía de seguridad en el desarrollo y mantenimiento de sistemas

Política de Tratamiento de la Información

Procedimiento de Transferencia de Información por Medios Extraíbles

Ethical Hacking + Escaneo de Vulnerabilidades

Matriz de Evaluación de Proveedores

Matriz de Evaluación de Requisitos Legales y Contractuales

Política de Seguridad por Capas

Prueba de Continuidad

Plan de Comunicación del SGSI

Metodología de Indicadores de Seguridad de la Información

Listado de métricas e indicadores

Plan y Programa de Auditoría

Procedimiento de Acciones Correctivas y de Mejora

Remediaciones Ethical Hacking + Escaneo de Vulnerabilidades

Evidencia de controles implementados ISO 27002

Auditoría interna del SGSI

Plan de Tratamiento de Acciones Correctivas y de Mejora

Capacitación de Desarrollo Seguro

Validar requisitos de SI en contratos con empleados y proveedores

Procedimiento de Gestión de Inteligencia de Amenazas

Procedimiento de Anonimización de Datos Personales

Procedimiento de Revisión y Contratación de Proveedores

Documentación de Hardening

Have questions about security or compliance?

Our team is here to provide documentation, support due diligence requests, or walk you through our security practices.

Contact our security team