N5 Trust Center

Seguridad y compliance en N5

N5 construye una plataforma para la industria financiera usada por bancos e instituciones financieras en toda América. La seguridad es un requisito central de todo lo que entregamos. Este portal describe nuestro programa de seguridad, los controles que operamos y los documentos disponibles para clientes y prospectos bajo NDA.

Compliance

Solicitud de documentos

Los resúmenes de documentos son públicos. Los documentos completos se comparten bajo NDA: ve a la sección Documentos, solicita acceso y el equipo de seguridad de N5 revisará tu solicitud. NDA · Documentos

Divulgación responsable

Si crees haber encontrado una vulnerabilidad de seguridad en un producto o servicio de N5, repórtala a security@n5now.com. Acusamos recibo en un máximo de 2 días hábiles. Por favor no pruebes contra tenants productivos ni accedas a datos que no son tuyos.

Reportar vulnerabilidad

Controles

Seguridad de infraestructura

  • Segregación por cuenta AWS. Más de 30 cuentas AWS que separan ambientes, cargas de trabajo y clientes, bajo una AWS Organization gobernada centralmente
  • Kubernetes privado. Clusters EKS sin exposición pública del control plane ni de los nodos
  • Backups centralizados. AWS Backup con vault centralizado y una política formal de backup
  • Infraestructura como código. Todo cambio de infraestructura pasa por pipelines de IaC con revisión de pares, bajo una política formal de gestión de cambios

Seguridad de datos

  • Cifrado en reposo. Cifrado con AWS KMS en todos los almacenes de datos
  • Cifrado en tránsito. TLS 1.2+ en todo el tráfico
  • Anonimización de datos. Procedimiento formal de anonimización de datos personales
  • Tratamiento de la información. Política de clasificación y tratamiento de datos

Seguridad de aplicaciones

  • Ciclo de desarrollo seguro. Política de desarrollo seguro con SAST y escaneo de dependencias en CI
  • Gestión de vulnerabilidades. Procedimiento formal respaldado por escaneo continuo, AWS GuardDuty y Security Hub
  • Pentest anual. Ethical hacking anual por un tercero, obligatorio por política

Seguridad de endpoints

  • Gestión de dispositivos. Política de gestión de dispositivos corporativos
  • Programa BYOD. Política gestionada de bring-your-own-device

Seguridad de red

  • Auditoría en toda la organización. CloudTrail en toda la AWS Organization
  • Inteligencia de amenazas. SIEM y programa de threat intelligence operativos
  • Segmentación de red. VPCs por ambiente con direccionamiento asignado centralmente y sin solapamiento

Seguridad corporativa

  • SSO y MFA. Single sign-on con Microsoft Entra ID y autenticación multifactor obligatoria
  • Trabajo remoto seguro. Política de trabajo remoto
  • Gestión de proveedores. Política de clasificación y due diligence de proveedores; los proveedores críticos deben contar con ISO 27001 o SOC 2
  • Recuperación ante desastres. DRP documentado con pruebas periódicas

Documentos

Los resúmenes son públicos. Los documentos completos se comparten bajo NDA. NDA

Paquetes de documentos 2

DocumentoVersiónAcceso
Pack completo de documentación (ZIP)
Todos los documentos de este portal, en una sola descarga.
Solicitar acceso
Pack de evidencias ISO 27001 (ZIP)
Las 10 políticas del SGSI, Declaración de Aplicabilidad, alcance del SGSI y metodología de riesgos.
Solicitar acceso

Políticas y procedimientos 12

DocumentoVersiónAcceso
Política de Seguridad de la Información
Política sombrilla del SGSI, alineada a ISO/IEC 27001:2022.
1.2 Solicitar acceso
Política BYOD
Reglas para dispositivos personales que acceden a recursos corporativos.
1.1 Solicitar acceso
Política de Uso de Dispositivos
Configuración, protección y ciclo de vida de los endpoints corporativos.
1.1 Solicitar acceso
Política de Trabajo Remoto
Requisitos de seguridad para trabajo remoto e híbrido.
2 Solicitar acceso
Política de Gestión de Proveedores
Clasificación de proveedores, due diligence y requisitos de seguridad para proveedores críticos.
1.1 Solicitar acceso
Política de Gestión de Backup
Alcance, frecuencia, retención y pruebas de restauración de backups.
1 Solicitar acceso
Política de Desarrollo Seguro
SDLC seguro: revisión de código, SAST/SCA, segregación de ambientes.
1.1 Solicitar acceso
Política de Tratamiento de la Información
Reglas de clasificación, etiquetado y transferencia de datos.
1 Solicitar acceso
Política de Gestión de Infraestructura
Gobierno de la infraestructura cloud, hardening y capacidad.
1 Solicitar acceso
Política de Gestión de Cambios en Infraestructura
Proceso controlado de cambios para infraestructura productiva.
1 Solicitar acceso
Procedimiento de Gestión de Vulnerabilidades
SLAs de detección, triaje y remediación de vulnerabilidades.
1.1 Solicitar acceso
Procedimiento de Anonimización de Datos
Anonimización de datos personales en ambientes no productivos.
1 Solicitar acceso

Compliance 3

DocumentoVersiónAcceso
Declaración de Aplicabilidad (ISO 27001)
Aplicabilidad de los controles del Anexo A de ISO 27001:2022.
ext Solicitar acceso
Definición de Alcance del SGSI
Alcance del sistema de gestión de seguridad de la información.
2 Solicitar acceso
Metodología de Gestión de Riesgos
Cómo N5 identifica, valora y trata los riesgos de seguridad.
1.1 Solicitar acceso

Resiliencia 1

DocumentoVersiónAcceso
Plan de Recuperación ante Desastres (con evidencia de pruebas)
Estrategia de recuperación, objetivos RTO/RPO y resultados de pruebas periódicas.
Solicitar acceso

Aseguramiento 1

DocumentoVersiónAcceso
Reporte de Pentest Anual (última edición)
Resumen ejecutivo y hallazgos del último pentest de un tercero.
Solicitar acceso

Arquitectura 1

DocumentoVersiónAcceso
Diagrama de Red de Alto Nivel
Vista de alto nivel de ambientes, segmentación y flujos de tráfico.
Solicitar acceso

Solicitar acceso a documentos

El equipo de seguridad de N5 revisa cada solicitud. Los documentos aprobados llegan por email como links de descarga con expiración.

Documentos solicitados

Subprocesadores

Amazon Web Services

Hosting principal de la plataforma

Estados Unidos (us-east-1) y otras regiones

  • SOC 2
  • ISO 27001
  • PCI DSS

Microsoft Azure

Servicios específicos y ambientes de demo

Estados Unidos / Europa

  • SOC 2
  • ISO 27001
  • PCI DSS

Confluent Cloud

Kafka gestionado (streaming de eventos)

Estados Unidos

  • SOC 2
  • ISO 27001