Saltar al contenido principal

Documentation Index

Fetch the complete documentation index at: https://developers.argosidentity.com/llms.txt

Use this file to discover all available pages before exploring further.

1. Descripción general del documento

1.1 Propósito

Este documento es un recurso elaborado para que los equipos de revisión de seguridad y redes de organizaciones clientes externas puedan comprender la arquitectura de comunicación de red y las políticas de seguridad de datos de la capa de almacenamiento de datos (Database) utilizada por ARGOS Identity.

1.2 Destinatarios

  • Responsables de revisión de seguridad e información de las organizaciones clientes
  • Personal de auditoría de relaciones de encargo y recepción de tratamiento de datos
  • Departamentos de cumplimiento normativo / auditoría

1.3 Alcance

  • Motor de almacenamiento de datos y estructura de llamadas
  • Métodos de cifrado en tránsito y en reposo
  • Autenticación y autorización, control de acceso, aislamiento
  • Auditoría, copia de seguridad y cumplimiento normativo

2. Flujo de comunicación de red

2.1 Estructura de llamada

2.2 Características de la comunicación

ElementoValor
ProtocoloHTTPS (TLS 1.2+)
AutenticaciónAWS Signature Version 4 (SigV4)
SDK de llamadaAWS SDK for JavaScript (v2/v3)
Formato de respuestaJSON
Origen de la llamadaCapa de procesamiento de verificación (Lambda) / EC2 / herramientas de administración
Acceso directo externoNo permitido (solo llamadas internas de AWS)

2.3 Exposición al exterior

  • DynamoDB no está expuesto directamente a Internet, y solo los servicios internos que poseen credenciales de AWS (IAM Role) pueden realizar llamadas.
  • Todas las llamadas se resuelven dentro de la infraestructura de AWS.

3. Protocolos y normas de comunicación

3.1 Capa de transporte

  • TLS 1.2 o superior obligatorio (comportamiento predeterminado del AWS SDK)
  • El endpoint de DynamoDB está protegido por certificado emitido por AWS y el SDK lo verifica automáticamente

3.2 Firma de autenticación

  • Todas las llamadas a la API se firman con AWS Signature Version 4 (SigV4)
  • Elementos de firma: credenciales (IAM Role) + hora de la solicitud + método/ruta/cabeceras/hash del cuerpo de la solicitud
  • En caso de alteración, AWS rechaza la solicitud de inmediato (rechazo automático si la diferencia horaria supera 5 minutos)

3.3 Patrones de llamada

  • PutItem / GetItem / Query / UpdateItem / DeleteItem / BatchWrite / TransactWrite
  • En algunos hot-paths se aplica la caché en memoria DynamoDB Accelerator (DAX)

4. Cifrado de datos

La capa de almacenamiento de datos opera una estructura de doble cifrado.

5.1 Primario — Cifrado lado servidor (Server-Side, gestionado por AWS)

ElementoValor
Alcance de aplicaciónAplicado automáticamente a todas las tablas, índices, streams y copias de seguridad
AlgoritmoAES-256
Gestión de clavesAWS KMS (basado en HSM con certificación FIPS 140-2 Level 3)
→ DynamoDB siempre cifra todos los datos almacenados con AWS KMS; no existe ningún momento en que los datos se escriban en disco en texto plano.

5.2 Secundario — Cifrado adicional en capa de aplicación (campos sensibles)

Los campos de información personal sensible como número de identificación, número de pasaporte o datos de contacto se cifran adicionalmente en la capa de aplicación antes de su almacenamiento.
ElementoValor
AlgoritmoAES-256-GCM (cifrado autenticado)
Gestión de clavesAWS KMS Customer-managed Key
IntegridadVerificación del Auth Tag del modo GCM
Momento de aplicaciónCifrado directo en la capa de procesamiento de verificación antes del PUT
→ Como resultado, los campos sensibles se almacenan en estado de doble cifrado (AES-256-GCM de aplicación + AES-256 lado servidor).

5.3 Almacenamiento de objetos (referencia)

Las imágenes (documentos de identidad y selfis) se almacenan en AWS S3 con cifrado lado servidor basado en KMS.

5.4 Cifrado en tránsito

TramoMétodo
Procesamiento de verificación → DynamoDBTLS 1.2+ (forzado por AWS SDK)
DynamoDB → Copia de seguridad/PITRCifrado interno de AWS (KMS)
Cross-Region ReplicationCifrado interno de AWS (KMS)

6. Autenticación y autorización

6.1 Autenticación del invocador

  • El invocador debe poseer credenciales AWS IAM válidas
  • La capa de procesamiento de verificación (Lambda / EC2) recibe credenciales automáticamente mediante IAM Role
  • Las credenciales se rotan automáticamente en forma de token de validez corta (STS Token)

6.2 Autorización (Authorization)

  • Control de permisos por unidad de tabla / unidad de operación mediante IAM Policy
  • Aplicación del principio de mínimo privilegio (Least Privilege)

7. Integridad

CapaMétodo de garantía de integridad
AWS DynamoDBTodas las escrituras se someten a replicación síncrona multi-AZ y verificación de suma de comprobación
Payload de aplicaciónVerificación del Auth Tag de AES-256-GCM
Canal TLSIntegridad integrada en TLS 1.2+ (AEAD / HMAC)

8. Control de acceso y aislamiento

8.1 Capa de red

  • Sin exposición directa a Internet externo
  • Comunicación interna de AWS exclusivamente (Endpoint público pero con IAM como guardián)
  • Comunicación forzada dentro del backbone de AWS mediante VPC Gateway Endpoint

8.2 Aislamiento IAM

  • Separación de IAM Role por servicio
  • Separación de usuarios, grupos e IAM por operador / desarrollador / herramientas de automatización
  • Multi-Factor Authentication (MFA) obligatoria (acceso a consola)

8.3 Aislamiento de entornos

  • Operación con tablas Live / Test separadas
  • El movimiento de datos entre entornos solo se realiza mediante procedimiento explícito de migración

9. Registro y auditoría

9.1 Auditoría de aplicación

  • Registro de eventos de dominio en tabla de auditoría separada (cambios de estado de envíos KYC, acciones de administrador, etc.)
  • Todos los registros de auditoría aplican política inmutable (append-only)

9.2 Retención

  • Registros CloudTrail: mantenimiento automático de 90 días en la consola de AWS; para retención a largo plazo, almacenamiento adicional en S3
  • Copias de seguridad de DynamoDB (PITR): recuperación a punto en el tiempo de hasta 35 días
  • Copias de seguridad bajo demanda: sin límite de período de retención

10. Cumplimiento normativo

10.1 Certificaciones obtenidas por ARGOS Identity

  • ISO/IEC 27001 — Certificación de norma internacional de gestión de seguridad de la información

10.2 Certificaciones de AWS DynamoDB (heredadas)

  • SOC 1 / SOC 2 / SOC 3
  • ISO 9001 / 27001 / 27017 / 27018
  • PCI-DSS Level 1
  • HIPAA Eligible
  • FedRAMP Moderate
  • IRAP, MTCS, FIPS 140-2 Level 3 (KMS)

10.3 Derechos del interesado

  • Procedimientos de identificación y tratamiento de los datos objeto de solicitudes de acceso, rectificación y supresión basadas en la Ley de Protección de Datos Personales / GDPR
  • Sujeto a acuerdo de tratamiento separado entre encargante y encargado

Apéndice A. Glosario de términos

TérminoDefinición
DynamoDBServicio de base de datos NoSQL serverless gestionado por AWS
SigV4AWS Signature Version 4 — estándar de firma para llamadas a la API
KMSAWS Key Management Service (HSM con certificación FIPS 140-2 Level 3)
PITRPoint-in-Time Recovery (recuperación a punto en el tiempo)
DAXDynamoDB Accelerator (caché en memoria)
AEADAuthenticated Encryption with Associated Data
IAM RoleRol de AWS Identity and Access Management
MFAMulti-Factor Authentication
Optimistic LockControl de concurrencia optimista basado en escritura condicional

Apéndice B. Consultas

Para consultas técnicas sobre este documento, póngase en contacto con el canal de soporte técnico y comercial de ARGOS Identity.