Centro de Confianza
Última actualización: 2026-05-26
Esta página es la fuente única de verdad sobre dónde está Mycelium en las certificaciones, auditorías y evidencia de procurement que un comité de compras Fortune 100 pide. Cada fila de estado lleva un cronograma explícito. Nada en esta página es aspiracional sin una fecha.
1. Dónde estamos
| Certificación | Estado | Objetivo | Última verificación |
|---|---|---|---|
| SOC 2 Type II | Engagement arrancando Q2 2026 | Reporte Type II en Q4 2026 después de la ventana de observación de 6 meses | Carta de compromiso pendiente |
| HIPAA + listo para BAA | Evaluación de riesgo + salvaguardas técnicas documentadas; plantilla de BAA disponible | Activo en Q3 2026 | 2026-05-04 |
| RGPD + DPIA | DPA publicado, plantilla de DPIA disponible | Activo | 2026-05-04 |
| Pen test | Engagement con firma Tier-1 arrancando Q2 2026 (Bishop Fox, NCC Group, o Trail of Bits, selección final pendiente) | Reporte anual bajo NDA desde Q3 2026 | RFP de engagement en curso |
| ISO 27001 | En el roadmap | Q1 2027 si materializa la demanda de F100 europeas | Roadmap |
| FedRAMP Moderate | En el roadmap; requerido para capas de memoria de IA federales hacia 2027 según el memo gubernamental | Q4 2027 | Roadmap |
| BYOK + llaves de cifrado por inquilino | Llaves de cifrado gestionadas por el cliente en el tier Enterprise; alcance a nivel de namespace reservado para instalaciones custom de Hyperscale | Activo (Enterprise); Hyperscale por contrato | 2026-05-26 |
| Aislamiento de despliegue | Shared-tenant por defecto con RLS más bitácora de auditoría por inquilino más límites de velocidad por inquilino; single-tenant disponible en instalaciones custom de Hyperscale | Activo (shared-tenant); Hyperscale por contrato | 2026-05-26 |
2. Cómo leer esta página
Esta página se actualiza cuando un estado cambia. Cada fila lleva una fecha o un cronograma explícito. Los ítems sin fecha son del roadmap, nombrados como tales. Nada aquí es aspiracional sin un objetivo. Si la página tiene más de treinta días, escribe a contact@mycelium-ai.co por el estado actual.
3. Residencia de datos
- Región por defecto: Estados Unidos (Fly IAD)
- Región europea (Fly CDG): disponible en los tiers Enterprise y Hyperscale a solicitud
- Los datos del cliente no salen de la región seleccionada excepto por solicitud explícita del cliente, por ejemplo failover entre regiones durante una interrupción declarada con consentimiento del cliente
- Replicación de la bitácora de auditoría: solo dentro de la región; la cadena de auditoría nunca se replica entre regiones
La postura de residencia para un inquilino específico se aplica en el momento del despliegue. Los equipos de procurement que manejan cargas de trabajo con residencia EU o US-only pueden solicitar la cláusula de residencia por escrito contra el DPA antes de firmar.
4. Cadencia de auditoría
- Escaneos internos de vulnerabilidades: mensual
- Auditoría de dependencias: semanal vía Dependabot
- Revisión de accesos: trimestral
- Drill de restauración de backups: trimestral
- Ejercicio de tabletop de respuesta a incidentes: semestral
5. Respuesta a incidentes
- Detección: alertas de PostHog, Vercel y Sentry
- Primera respuesta dentro de una hora hábil
- Notificación al cliente dentro de 24 horas de un incidente confirmado
- Postmortem publicado en /trust/postmortems dentro de 14 días
- El postmortem cubre causa raíz, fix, y el cambio de monitoreo aplicado después
6. Contactos de seguridad
- Vulnerabilidades: security@mycelium-ai.co
- Solicitudes de interesados: privacy@mycelium-ai.co
- Preguntas generales de procurement: contact@mycelium-ai.co
7. Subprocesadores
La lista canónica actual de subprocesadores vive en nuestro Addendum de Procesamiento de Datos bajo la Sección 3. Migraremos a una página /subprocessors independiente si la lista crece más allá de seis entradas. Hasta entonces, el DPA es la fuente única.
8. Documentos disponibles a solicitud
Mycelium · fundado en 2026