Alcance del SGSI
Este documento define el alcance del Sistema de Gestión de Seguridad de la Información (SGSI) para ISMS Copilot, operado por Better ISMS (Francia). Identifica los límites y la aplicabilidad del SGSI, considerando nuestro contexto organizacional, las partes interesadas y las interfaces con servicios externos.
Este documento de alcance sigue la cláusula 4.3 de la norma ISO 27001:2022 y se revisa anualmente o cuando ocurren cambios significativos en nuestros servicios, integraciones o estructura organizacional.
Organización
Campo | Valor |
|---|---|
Entidad legal | Better ISMS |
Jurisdicción | Francia (UE) |
Producto | ISMS Copilot — asistente de cumplimiento impulsado por IA |
Modelo de negocio | B2B SaaS (basado en suscripción) |
Usuarios | ~800 (principalmente con sede en la UE, disponible a nivel mundial) |
Declaración de Alcance del SGSI
El SGSI se aplica al desarrollo, operación y gestión de la plataforma ISMS Copilot, una aplicación SaaS impulsada por IA y alojada en la nube que asiste a las organizaciones con el cumplimiento del sistema de gestión de seguridad de la información.
Aplicaciones y Servicios en Alcance
Componente | Tecnología | Alojamiento |
|---|---|---|
Aplicación web frontend | React, TypeScript, Vite | Vercel (CDN global) |
Servicio de chat backend | Deno, TypeScript | Fly.io (región CDG, París) |
Base de datos y autenticación | PostgreSQL, Supabase Auth | Supabase Cloud (UE — Frankfurt) |
Almacenamiento de archivos | Compatible con S3 | Supabase Storage (UE — Frankfurt) |
Funciones Edge | Deno | Supabase Edge |
Integraciones de Terceros en Alcance
Integración | Propósito | Cobertura del Alcance |
|---|---|---|
Anthropic (Claude) | Proveedor de chat de IA predeterminado | Flujos de datos, gestión de claves, monitoreo de proveedores |
OpenAI (GPT-4.1) | Detección de documentos | Flujos de datos, gestión de claves |
xAI (Grok) | Formateo de documentos | Flujos de datos, gestión de claves |
Mistral AI | Modo de protección de datos avanzada | Flujos de datos, gestión de claves, verificación ZDR |
Google (Gemini) | Proveedor de chat de IA alternativo | Flujos de datos, gestión de claves |
Stripe | Procesamiento de pagos | Seguridad de webhooks, gestión de suscripciones |
ConvertAPI | Conversión de archivos (PDF, DOCX, XLSX) | Flujos de datos, manejo de archivos |
SendGrid | Correos electrónicos de alerta de seguridad | Entrega de alertas |
Datos en Alcance
Categoría de Datos | En Alcance |
|---|---|
Mensajes de chat de usuario y respuestas de IA | Sí |
Archivos subidos y contenido extraído | Sí |
Datos de cuenta de usuario y autenticación | Sí |
Metadatos de suscripción y facturación | Sí |
Ajustes de usuario e instrucciones del espacio de trabajo | Sí |
Registros de consumo de tokens y uso | Sí |
Registros de aplicación e informes de errores | Sí |
Procesos en Alcance
Proceso | En Alcance |
|---|---|
Ciclo de vida de desarrollo de software (SDLC) | Sí |
Gestión de cambios y despliegue | Sí |
Detección, respuesta y recuperación ante incidentes | Sí |
Evaluación y tratamiento de riesgos | Sí |
Gestión y revisión de accesos | Sí |
Gestión de vulnerabilidades | Sí |
Gestión de proveedores | Sí |
Protección de datos y privacidad | Sí |
Continuidad del negocio y recuperación ante desastres | Sí |
Herramientas de Monitoreo y Desarrollo en Alcance
Herramienta | Propósito | Cobertura del Alcance |
|---|---|---|
Sentry | Seguimiento de errores (frontend + backend) | Depuración de PII, higiene de registros |
PostHog | Analítica de producto | Minimización de datos |
BetterStack | Monitoreo de tiempo de actividad, página de estado | Configuración de alertas |
GitHub | Código fuente, pipelines de CI/CD | Control de acceso, gestión de secretos, seguridad de pipelines |
Vercel CI/CD | Despliegue de frontend | Seguridad de despliegue |
Exclusiones del Alcance
Exclusión | Justificación |
|---|---|
Infraestructura física de oficina | El equipo es totalmente remoto; no existe una oficina física que asegurar |
Dispositivos personales de empleados | Entorno BYOD; los controles de seguridad están en la capa de aplicación y plataforma, no en el endpoint |
Seguridad del lado del cliente | Los entornos de los clientes, los endpoints y las redes internas están fuera del control de ISMS Copilot |
Operaciones internas de terceros | La seguridad interna de los proveedores se rige por sus propias certificaciones (SOC 2, ISO 27001) y nuestra política de gestión de proveedores |
Sitio web de marketing | Sitio de marketing estático en infraestructura separada; no hay procesamiento de datos de usuario |
Diagrama de Límites del SGSI
El límite del SGSI incluye la gestión de interfaces con entidades externas:
Los usuarios finales se conectan a través de navegadores al Frontend (Vercel), que se comunica con Supabase (DB/Auth/Storage/Edge Functions) y el Servicio de Chat en Fly.io
El Servicio de Chat en Fly.io interactúa con los Proveedores de IA (Anthropic, OpenAI, xAI, Mistral, Gemini) y la base de datos de Supabase
Se accede a Stripe y ConvertAPI a través de Supabase Edge Functions
GitHub Actions gestiona el pipeline de CI/CD
Sentry, PostHog y BetterStack proporcionan monitoreo y observabilidad
Todos los datos en reposo se almacenan dentro de la infraestructura de la UE (Frankfurt). El servicio de chat backend se ejecuta en París (CDG). Las llamadas a la API de los proveedores de IA pueden transitar por puntos finales fuera de la UE, lo cual está documentado en nuestra Evaluación de Impacto de Transferencia.
Estándares y Marcos Aplicables
Estándar | Alcance de Aplicación |
|---|---|
ISO/IEC 27001:2022 | SGSI completo — todas las cláusulas y controles aplicables del Anexo A |
ISO/IEC 42001:2023 | Sistema de Gestión de IA — aplicable a los componentes de IA |
GDPR | Todas las actividades de procesamiento de datos personales |
SOC 2 | Criterios de Servicios de Confianza — Seguridad, Disponibilidad, Confidencialidad |
Ley Francesa de Protección de Datos | Implementación nacional del GDPR |
Revisión del Alcance
Este documento de alcance se revisa anualmente, cuando se añaden nuevos servicios o integraciones, cuando cambia la estructura organizacional, al entrar en nuevos mercados o jurisdicciones, y tras los hallazgos de la revisión por la dirección. Los cambios en el alcance del SGSI requieren la aprobación del CEO y activan una revisión de la Declaración de Aplicabilidad, la evaluación de riesgos y las políticas afectadas.