Trust Center

Cómo cuoHRe protege los datos del Cliente y de sus empleados: certificaciones, controles técnicos y organizativos, subencargados, contactos de seguridad y reportes de auditoría. Esta página se mantiene actualizada y refleja el estado real al pie del documento.

1. Estado de auditorías y certificaciones

Estado actual: SOC-ready

cuoHRe tiene los controles SOC 1 + SOC 2 implementados, documentados y operativos en producción. Las policies internas (10 documentos cubriendo change management, segregation of duties, incident response, retención, BCDR, etc.) están redactadas y vigentes.

El engagement formal con auditor independiente se planifica en función de la demanda de Clientes Enterprise. Hasta entonces, los Clientes que requieran evidencia de controles pueden solicitar bajo NDA: matriz de controles, policies completas, walkthrough técnico de los flows críticos, y cuando aplique, agreed-upon procedures por su auditor designado.

SOC 1 y SOC 2 son complementarios: SOC 1 valida los outputs de cálculo de payroll (salary expense, retenciones, asientos contables) — su público es el auditor externo del Cliente. SOC 2 cubre los controles de seguridad de la plataforma — su público es el CISO/IT del Cliente.

ReporteCoberturaEstado al 2026-06-30
SOC 1 Type I + Type II Control objectives sobre procesos de payroll (cambios a fórmulas, segregation of duties, controls de input/output, retros). Type II incluye Reliance Letter al auditor del Cliente. Controles vigentes · Engagement formal según demanda Enterprise
SOC 2 Type I + Type II Trust Services Criteria — Security, Availability, Confidentiality. Controles vigentes · Engagement formal según demanda Enterprise
Pen-test anual externo Auditoría externa por vendor reconocido (Cobalt, Bishop Fox, o equivalente). Posterior al SOC 2 Type II
ISO 27001 Sistema de gestión de seguridad de la información. A evaluar bajo requerimiento UE

Para Clientes con requerimientos de auditoría en este momento

Si tu organización necesita evidencia formal de controles antes de la emisión del primer reporte SOC, ofrecemos las siguientes alternativas bajo NDA:

Para arrancar cualquiera de estos flujos: security@cuohre.com.

2. Controles implementados

Encriptación

TLS 1.2+ end-to-end con certificados wildcard de Cloudflare. Encriptación at-rest del disco gestionada por Render.

Aislamiento multi-tenant

Filtro lógico por company_id_tenant en todas las queries. Tests automáticos previenen leak de datos cross-tenant.

RBAC granular

Permisos por recurso × acción para 80+ recursos. Cada Cliente administra sus propios roles desde su tenant.

Audit log centralizado

Toda mutación admin queda en admin_audit_log con snapshot antes/después. Retención: 1 año standard, 3 años Enterprise, 7 años Enterprise+.

Firma digital de recibos

RSA-PSS-SHA256 con keypair por persona. Conforme Ley 25.506 (Argentina). Verificable por terceros vía endpoint público.

Biometría facial opcional

AWS Rekognition para fichada y firma con face match. Gateado por consent del empleado cuando lo activa el Cliente.

Versionado de fórmulas payroll

Reglas con vigencia temporal (start_date/end_date). Liquidaciones retroactivas resuelven la fórmula vigente al período.

Approval workflow

Cambios sensibles (payroll config, reapertura de período, ajustes salariales, etc) pasan por workflow de aprobación opcional configurable por tenant.

Monitoring centralizado

Errores y métricas a Sentry con alertas por degradación. Retención mínima 90 días.

Backups diarios

Snapshots de DB Render con retención 7 días. RTO 2-8 hs según tier; RPO 24 hs (con PITR planificado para reducir a 1 hora).

MFA obligatorio

MFA habilitado en todas las cuentas internas con acceso a producción. Roadmap 2026 H2: MFA configurable por tenant para usuarios admin.

Incident Response 72 hs

Política IR documentada con notificación al Cliente dentro de las 72 hs de confirmado un incidente material. Tabletop exercise anual.

3. Cobertura funcional argentina

El motor de cálculo cubre 25 casos representativos de la legislación laboral argentina: 6 CCTs masivos (Comercio, Camioneros, UOM, UTHGRA, Sanidad, UOCRA), regímenes especiales (Casas Particulares, Pasantías, Rural), liquidaciones finales (renuncia, despido s/causa, despido c/causa, mutuo acuerdo, plazo fijo) y edge cases del motor (retros automáticos, embargo judicial, Ganancias 4ta categoría con tabla AFIP 2026).

Ver matriz completa de casos AR →

4. Subencargados (Subprocessors)

cuoHRe utiliza los siguientes proveedores para prestar el Servicio. El catálogo completo y autoritativo está en el Anexo II del DPA; el listado abajo es el snapshot vigente.

ProveedorFunciónJurisdicciónCertificaciones
Render.com Inc.Infraestructura cloud (cómputo + Postgres)EE.UU. (Oregon)SOC 2 Type II
Cloudflare Inc.CDN, WAF, terminación TLS, DDoS protectionGlobal (anycast)SOC 2 Type II, ISO 27001
Resend.comEmail transaccionalEE.UU.SOC 2 Type II
Cloudinary Ltd.Storage de imágenesEE.UU. / IsraelSOC 2 Type II
AWS Inc.Biometría facial (Rekognition)EE.UU.SOC 1+2 Type II, ISO 27001
Anthropic PBCAPI de modelos de lenguaje (AI Copilot opcional)EE.UU.SOC 2 Type II
Sentry (Functional Software Inc.)Logging centralizado y observabilidadEE.UU. / UESOC 2 Type II, ISO 27001

Cualquier alta o baja de subencargado se comunica a los Clientes Enterprise con anticipación mínima de 30 días antes de la incorporación, conforme cláusula 6.3 del DPA. Para suscribirse a estas notificaciones, escribir a security@cuohre.com.

5. Retención y supresión de datos

CategoríaPlazo durante el ServicioPost-terminación
Legajo de empleadosMientras dure la relación contractual90 días para extracción, luego supresión
Recibos de sueldo y firmas digitales10 años (RG AFIP 2266, art. 80 LCT)Conservación legal mandatoria
AsistenciaDurante el contrato + 5 añosConservación recomendada
Audit log1 año (Pro) / 3 años (Enterprise) / 7 años (Ent+)Conservación del tier vigente
AI conversationsMientras la cuenta esté activaBorrado inmediato
Logs de Sentry90 días (plan Team) / 1 año (plan Business)Mismo plazo del tier

Para solicitar supresión, certificado de supresión o copia portable de los datos: legal@cuohre.com.

6. Continuidad y recuperación

7. Roadmap de compliance

Nuestro roadmap interno mapea 5 niveles de compliance (L0 → L5). Las fases superiores (L2 en adelante) se activan en función de la demanda concreta de Clientes Enterprise, dado que el costo del engagement formal solo se justifica con masa crítica de cuentas que lo requieran.

NivelCoberturaEstado
L0Shared DB con filtro lógico + RBAC granular + audit log + backups Render + DPA template.Vigente
L1Subdominio dedicado + branding por tenant + DPA firmable.Vigente
L2SOC 1 + SOC 2 Type I integrado.Controles vigentes · Engagement según demanda
L3SOC 1 + SOC 2 Type II + pen-test anual.Continuación de L2
L4DB-per-tenant (opt-in Enterprise+).A demanda
L5BYOK + data residency multi-región.A demanda

Detalle público de cada nivel disponible en el documento interno COMPLIANCE-ROADMAP.md (entregado bajo NDA a solicitud del Cliente).

Contactos de seguridad

Reportar una vulnerabilidad: security@cuohre.com

Solicitar SOC report bajo NDA: security@cuohre.com

Solicitar DPA firmado o portabilidad de datos: legal@cuohre.com

Reportar un incidente con datos personales: security@cuohre.com (respondemos en menos de 24 hs hábiles)

Última actualización: 30 de junio de 2026. Esta página se versiona junto al código fuente del Servicio (cuohre-landing). Para suscribirte a notificaciones de cambios materiales, escribí a security@cuohre.com.