Enterprise
El modelo de seguridad enterprise de Ciao
Cargas de trabajo aisladas, cambios probados continuamente y hallazgos de seguridad confirmados contra la aplicación en vivo, documentados en un paquete de seguridad que tus revisores pueden leer bajo NDA.
El modelo de seguridad enterprise de Ciao combina infraestructura aislada por proyecto con pruebas de seguridad continuas: análisis estático, comprobación de dependencias, pruebas de control de acceso y vulnerabilidades confirmadas contra la aplicación en vivo antes de señalarlas. A diferencia de las herramientas de codificación con IA que se detienen en generar código, Ciao trata la seguridad como parte del circuito de entrega, con informes SOC 2 Tipo II disponibles bajo NDA y un paquete de seguridad disponible a petición.
Publicado 2026-07-03 · Última actualización 2026-07-03
Por qué el modelo de seguridad importa más con la IA en el circuito
El desarrollo asistido por IA cambia las preguntas que debe responder una revisión de seguridad. El volumen de código sube, la frecuencia de cambios sube, y una nueva clase de proveedor, el proveedor del modelo, entra en tu diagrama de flujo de datos. Una plataforma que genera software de producción tiene que mostrarte con claridad tres cosas: dónde corren las cargas de trabajo y cómo se aíslan, cómo se prueban los cambios antes y después de publicarse, y qué pasa con el código y los datos que atraviesan el sistema.
La mayoría de herramientas de esta categoría responden con una lista de funciones. Un CISO necesita evidencia: una auditoría independiente, un conjunto de documentos que el equipo pueda revisar bajo NDA, y controles que se puedan observar operando durante una evaluación. El modelo de seguridad de Ciao está construido para ser inspeccionado, no solo descrito.
Esta página resume el modelo (aislamiento, cifrado, pruebas continuas y sondeos de seguridad en vivo) y expone exactamente cómo verificar cada parte. Nada de esto debe tomarse por confianza; cada afirmación se mapea a un documento que puedes solicitar o a un control que puedes ver funcionar.
Lo que ofrece Ciao
Cada elemento a continuación se remite a un control que puedes verificar durante la revisión.
- Infraestructura aislada — Los proyectos corren sobre Kubernetes en pods aislados, con hibernación y despertar y soporte multirregión, infraestructura diseñada para escalar sin difuminar los límites de carga de trabajo entre clientes o proyectos.
- Análisis estático y de dependencias — El ingeniero de Security de Ciao ejecuta análisis estático y comprobación de dependencias como parte del circuito de entrega, así el código generado y el escrito por humanos se revisan por igual antes de publicar.
- Pruebas de control de acceso — Security prueba las reglas de acceso contra la aplicación en marcha en lugar de solo leer el código, comprobando lo que un atacante realmente alcanzaría.
- Hallazgos confirmados en vivo — Las vulnerabilidades se confirman contra la app en vivo antes de señalarlas, así tu equipo revisa exposición real en lugar de ruido de escáner.
- Visibilidad de listo para publicar — Un panel de listo para publicar muestra si un proyecto está despejado para publicarse, alimentado por análisis, sondeos y hallazgos confirmados.
- Identidad y acceso — SSO vía SAML y OIDC, MFA opcional y control de acceso basado en roles en workspaces y proyectos.
- Auditabilidad — Un registro de auditoría de solo adición registra prompts, merges, despliegues y acciones de administración.
- Manejo de datos de modelo — El código del cliente no se usa para entrenar modelos, y la inferencia se ejecuta bajo contratos de modelo sin retención.
Cómo funcionan las pruebas de seguridad en la práctica
1. Construye en aislamiento
Cada proyecto se construye y corre en su propio pod aislado, así un cambio en un proyecto no puede alcanzar el runtime de otro proyecto.
2. Analiza
El análisis estático y la comprobación de dependencias corren contra la base de código, atrapando patrones de vulnerabilidad conocidos y paquetes vulnerables antes de publicarse.
3. Sondea
Las pruebas de control de acceso ejercitan la aplicación en marcha (endpoints, roles, acceso a datos) de la forma en que lo haría un tercero externo.
4. Confirma
Los hallazgos se confirman contra la app en vivo antes de señalarlos, lo que mantiene la cola corta y creíble para los humanos que la clasifican.
5. Filtra
Los smoke gates de QA corren antes de publicar, y Guardrails aplica políticas en lenguaje sencillo con revisión humana registrada para cambios de riesgo.
6. Monitoriza
Después de publicar, las comprobaciones de producción de QA siguen corriendo, y Doctor, un SRE de IA de solo lectura, examina la app en vivo, el DNS y el CDN para diagnosticar problemas temprano.
Aislamiento y cifrado
El aislamiento de cargas de trabajo es estructural: Kubernetes con pods aislados por proyecto, no un runtime compartido con separación lógica añadida después. El cifrado en tránsito y en reposo es práctica estándar en la plataforma, y los detalles que importan a un revisor (protocolos, gestión de claves, alcance) están documentados en el paquete de seguridad en lugar de comprimirse en una frase de marketing aquí. Si tu revisión necesita los detalles, solicita el paquete y lee la respuesta real.
Los equipos que necesitan un límite más estricto pueden desplegar en su propia cuenta de AWS, Azure o GCP o en una VPC privada; on-prem está disponible bajo términos aparte. En esas posturas, la aplicación y sus datos corren dentro de infraestructura que ya controlas y monitorizas.
Verificación: cómo comprobar cada afirmación de esta página
Los informes SOC 2 Tipo II están disponibles bajo NDA: el relato independiente y auditado de cómo operan estos controles a lo largo del tiempo. El paquete de seguridad, disponible a petición vía la página de contacto, cubre arquitectura, aislamiento, cifrado y manejo de datos con el detalle que necesita un revisor. Y como los controles de seguridad son parte del producto, puedes verlos funcionar: pide una demostración en vivo del análisis, las pruebas de control de acceso y la vista de listo para publicar durante tu evaluación. Los programas de producción serios empiezan en 10.000 USD al año; el alcance y la postura se acuerdan con el equipo enterprise.
Control por control: qué ofrece Ciao y cómo verificarlo
| Control | Qué ofrece Ciao | Cómo verificarlo |
|---|---|---|
| Aislamiento de cargas de trabajo | Kubernetes con pods aislados por proyecto | Detalle de arquitectura en el paquete de seguridad |
| Detección de vulnerabilidades | Análisis estático, comprobación de dependencias, pruebas de control de acceso | Demostración en vivo del panel de Security |
| Calidad de los hallazgos | Vulnerabilidades confirmadas contra la app en vivo antes de señalarlas | Revisa un hallazgo de principio a fin en una demo |
| Identidad y acceso | SSO vía SAML y OIDC, MFA opcional, RBAC | Demostración de configuración con tu IdP |
| Manejo de datos de modelo | Sin entrenamiento sobre código del cliente; contratos de modelo sin retención | Términos contractuales durante las compras |
| Auditoría independiente | SOC 2 Tipo II | Informe bajo NDA, solicitado vía /contact |
Preguntas frecuentes
¿Realizáis pruebas de penetración?
Los detalles del programa de pruebas pertenecen al paquete de seguridad, disponible a petición bajo NDA en lugar de resumirse en copy de marketing. Independientemente de cualquier ejercicio puntual, la plataforma analiza continuamente código y dependencias y sondea controles de acceso contra la aplicación en vivo.
¿Se usan nuestro código o datos para entrenar modelos?
No. El código del cliente no se usa para entrenar modelos, y la inferencia se ejecuta bajo contratos de modelo sin retención. El lenguaje contractual es parte del conjunto de documentos que revisa tu equipo legal durante las compras.
¿Podemos ejecutar Ciao dentro de nuestro propio límite de seguridad?
Sí. Puedes desplegar en tu propia cuenta de AWS, Azure o GCP o en una VPC privada, y on-prem está disponible bajo términos aparte. Habla con el equipo enterprise sobre qué postura encaja con tu revisión.
¿Cómo evitáis que los cambios generados por IA introduzcan vulnerabilidades?
Cada cambio pasa el mismo circuito: análisis estático, comprobación de dependencias y pruebas de control de acceso, con hallazgos confirmados contra la app en vivo antes de señalarlos. Guardrails aplica políticas en lenguaje sencillo y registra la revisión humana, así los cambios de riesgo son revisados por personas y el registro de auditoría muestra quién aprobó qué.
¿Cuál es vuestra dependencia de un único proveedor de modelos?
Ciao ejecuta una escalera de modelos multiproveedor con fallback, lo que reduce la dependencia de cualquier proveedor único. Los términos del proveedor de modelos, incluida la retención cero, son parte de la revisión contractual durante las compras.