Saltar al contenido
Synaptyx
Auditoría y cumplimiento

Registro de auditoría firmado criptográficamente y a prueba de manipulaciones.

Cada acción (sesiones, comandos, acceso a secretos, ediciones de políticas) se somete a hash, se enlaza con la entrada anterior y se firma con una clave Ed25519 sellada en el TPM. Cualquiera con tu clave pública puede verificar la cadena offline.

prev_hash
prev_hash
prev_hash
verified

Cómo funciona

1
Ocurre una acción
Un usuario lanza una sesión, un agente lee un archivo, un administrador edita una política.
2
Hash y enlace
La entrada se somete a hash (sha256) con una referencia al hash de la fila anterior.
3
Firma Ed25519
La firma la produce una clave sellada en el TPM, que nunca sale del hardware.
4
Verificación offline
Cualquiera con la clave pública de la empresa puede verificar la cadena, sin necesidad de llamarnos por API.

Análisis a fondo

Encadenamiento por hash
El campo prev_hash de cada entrada es el sha256 de la fila anterior. Elimina la fila N y las filas N+1 en adelante dejan de verificarse: la cadena se rompe de forma visible.
Firma y sellado en TPM
En autoalojamiento, la clave de firma se sella en el TPM y se desenvuelve solo dentro del proceso audit-signer. En la nube gestionada, la clave reside en un KMS en la nube (AWS KMS, GCP KMS o HashiCorp Vault Transit): las mismas garantías.
Verificación paginada
Las cadenas grandes se verifican en segmentos de 10 000 filas con una barra de progreso, sin necesidad de cargar 1,2 M de filas en memoria.

Verifica la cadena tú mismo

shell · verify CLI
$ synaptyx audit verify --from 8400 --to 8500 [segment 8400-8499] ok signed_at=2026-05-24T10:42:18Z [segment 8500-8500] ok signed_at=2026-05-24T10:42:24Z ───────────────────────────────────────────────────────── chain intact: 1,284,309 entries · 0 tampered · 0 gaps

A prueba de manipulaciones, no solo resistente a ellas.

No recibes la promesa de que no modificaremos los registros: recibes la garantía matemática de que no podemos. Aunque nuestra base de datos se vea comprometida, la cadena rota prueba la vulneración.

Comparativa

SynaptyxRegistros de BD comunesRegistro de solo anexión
A prueba de manipulacionesnosin firma
Prueba criptográficaEd25519 + sha256ningunaninguna
Verificación offlineCLI · solo clave públicanorequiere al proveedor
Clave de firma por inquilinosellada en TPMnoclave compartida
Verificación paginadasegmentos de 10 000nocarga todo en memoria

Preguntas frecuentes

Se genera una clave nueva. Las filas previas a la rotación siguen siendo verificables con la clave pública anterior; las posteriores usan la nueva. Perderla sin rotar significa que la cadena pasa a ser de solo anexión, sin firmas futuras, pero todo lo firmado hasta ese punto sigue siendo verificable.
Un auditor verifica la cadena con synaptyx audit verify --from <n> --to <n>: la firma Ed25519 de cada entrada se comprueba contra la clave publicada de tu empresa. Para retención a largo plazo, el registro firmado completo también se transmite a tu SIEM o a un bucket S3 WORM que tú controles.
La firma se hace por lotes (de 10 a 50 entradas por firma) y se ejecuta en una goroutine dedicada de audit-signer. La latencia de cada acción añade unos 2 ms en p99.
Dentro del chip TPM 2.0 del host que ejecuta audit-signer: sellada al chip, nunca exportada en texto plano y desellada solo en ese host.

¿Listo para gobernar tu infraestructura de IA?

Solicita acceso en minutos, o habla con nosotros sobre tu despliegue aislado de la red.

Comenzar