Plataforma Regional para Compliance
Es una plataforma regional de seguridad, auditoría y observabilidad diseñada para centralizar la trazabilidad de acciones realizadas por usuarios, roles y sistemas dentro del ecosistema tecnológico de Cencosud.
Su objetivo principal es ofrecer un punto único de control y visibilidad sobre eventos críticos de seguridad, alineado con las políticas internas, los estándares corporativos y los requerimientos de cumplimiento normativo (compliance).
Se implementa como un monorepo Nx que integra:
- Servicios backend (NestJS) para orquestación, autenticación, multi-tenant, reportes y dominio core.
- Un portal web (React + Tailwind + ITDS) para consulta, análisis y exploración de eventos de auditoría.
- Una librería de auditoría/eventos reutilizable que permite a otros sistemas publicar eventos de forma tipada y consistente.
- Infraestructura de mensajería basada en eventos usando Kafka (Redpanda) y persistencia centralizada en MongoDB.
Problema que resuelve
En un ecosistema con múltiples sistemas, países y dominios, la información de seguridad suele estar:
- Distribuida, con logs y auditoría en cada sistema.
- Inconsistente, con formatos y criterios diferentes.
- Díficil de correlacionar, especialmente para equipos de seguridad y compliance.
La plataforma nace para:
- Centralizar la ingesta de eventos de auditoría.
- Estandarizar el formato y el contrato de los eventos.
- Facilitar el análisis, la trazabilidad y la generación de reportes.
- Reducir el riesgo operativo y fortalecer los procesos de auditoría corporativa.
Características clave (high-level)
-
Plataforma regional y multi-país
Diseñada para escalar a múltiples países, dominios y sistemas del ecosistema Cencosud. -
Arquitectura orientada a eventos (Event-Driven)
Los sistemas publican eventos tipados a Kafka; La plataforma los procesa, valida y persiste para análisis posterior. -
Librería de auditoría compartida
SDK reutilizable que facilita la integración de nuevos sistemas bajo lineamientos comunes de seguridad y compliance. -
Portal web de observabilidad
Interfaz única para que los equipos de seguridad consulten, filtren y descarguen información de eventos críticos. -
Integración con gestión de accesos
Integración con el repositorio externoapolo-rm-access-managementpara información de usuarios, roles y scopes. -
Monorepo NX para desarrolladores
Estructura unificada para backend, frontend, documentación (Docusaurus) y librerías compartidas.
¿Para quién está pensada esta plataforma?
-
Equipos de Seguridad / Compliance
- Revisión centralizada de actividades, accesos, cambios y eventos sensibles.
- Generación de reportes y evidencias para auditorías internas y externas.
-
Equipos de Arquitectura y Tecnología
- Alineamiento de sistemas al modelo de auditoría y seguridad corporativo.
- Integración estandarizada de nuevos sistemas al modelo de eventos.
-
Equipos de Desarrollo
- Integración de la librería de auditoría en aplicaciones nuevas y existentes.
- Uso de la plataforma como fuente única de verdad de eventos de seguridad.
¿Cómo está organizada esta documentación?
Esta documentación está estructurada en secciones para facilitar el trabajo de distintos perfiles:
-
👉 Introducción — Esta página. Qué es la Plataforma Regional para Compliance y su propósito general.
-
👉 Visión y Alcance — Principios de diseño, objetivos y no-objetivos.
-
👉 Arquitectura — Visión general, contexto del sistema y componentes.
-
👉 Desarrollo — Cómo trabajar con el monorepo, setup local, Docker, NX, secrets.
-
👉 Estructura del Proyecto — Backend (NestJS), frontend (React) y librerías compartidas.
-
👉 APIs y Testing — Swagger, Bruno, Postman y buenas prácticas para probar endpoints.
-
👉 Contribución — Estándares de contribución, branching, commits y estilo de código.
-
👉 Referencias — Stack tecnológico, enlaces oficiales y recursos adicionales.