Skip to main content

Visión y Alcance de la Plataforma Regional

Esta es una plataforma pensada para convertirse en el plano central de seguridad, auditoría y observabilidad de acciones dentro del ecosistema Cencosud, con un enfoque fuerte en compliance, gobierno y trazabilidad.

Su propósito no es solo almacenar eventos, sino convertir la actividad de los sistemas en información accionable para seguridad, tecnología y negocio.

Visión

Ser la plataforma estándar de auditoría y seguridad de aplicaciones en Cencosud, entregando visibilidad centralizada, trazabilidad confiable y herramientas para soportar decisiones y procesos de cumplimiento.

En términos prácticos:

  • Cualquier sistema relevante del ecosistema debe poder publicar eventos de auditoría hacia la plataforma.
  • La información debe poder ser filtrada, consultada y trazada de forma sencilla y consistente.
  • La plataforma debe ser auditable, explicable y alineada a normativas internas y externas.

Objetivos principales

  1. Centralizar la auditoría de acciones de usuarios, roles y sistemas
    Reunir en un solo lugar los eventos relevantes de seguridad (logins, cambios de permisos, acciones sensibles, etc.).

  2. Estandarizar el modelo de eventos de seguridad
    Definir contratos, tipado y lineamientos claros para qué y cómo se audita, reduciendo la ambigüedad entre sistemas.

  3. Facilitar el trabajo de Seguridad y Compliance
    Entregar vistas, filtros, reportes y mecanismos de exportación que soporten revisiones periódicas y auditorías formales.

  4. Habilitar trazabilidad end-to-end
    Permitir seguir el rastro de una acción desde el usuario / sistema de origen hasta su impacto registrado en la plataforma.

  5. Escalar a nivel regional y multi-sistema
    Diseñar la plataforma para soportar múltiples países, dominios y aplicaciones, manteniendo un modelo consistente.

Principios de diseño

  • Compliance-first
    Las decisiones de diseño priorizan el cumplimiento de políticas internas, auditorías y normativas aplicables.

  • Event-Driven
    Los sistemas se integran a través de eventos de auditoría publicados en Kafka, desacoplando productores y consumidores.

  • Multi-país y multi-sistema
    El modelo considera desde el inicio la necesidad de manejar múltiples países, tenants y aplicaciones con reglas propias.

  • Observabilidad y trazabilidad
    No solo guardar datos, sino hacerlos fácilmente consultables, filtrables y exportables para su análisis.

  • Modularidad y extensibilidad
    La plataforma debe poder incorporar nuevos módulos (por ejemplo, nuevos tipos de reportes, motores de reglas, integraciones de IAM) con impacto controlado.

  • Developer Experience (DX)
    La integración para desarrolladores debe ser clara: librería de auditoría, contratos definidos, ejemplos, documentación y herramientas (Bruno/Postman/Swagger).

Alcance inicial

El alcance inicial incluye:

  • Ingesta de eventos de auditoría desde sistemas productores mediante una librería común y temas (topics) en Kafka.
  • Procesamiento y persistencia de dichos eventos en MongoDB, con estructura optimizada para consultas.
  • Portal web para:
    • Buscar y filtrar eventos.
    • Revisar acciones por usuario, rol, sistema, tipo de evento, país, etc.
    • Descargar reportes de auditoría.
  • Integración con apolo-rm-access-management
    Para enriquecer eventos con información de usuarios, roles, scopes y permisos.
  • Documentación centralizada en Docusaurus (devs-portal) para:
    • Arquitectura.
    • Guía de desarrollo.
    • Estructura de frontend y backend.
    • Integraciones y contratos de APIs.

Fuera de alcance (por ahora)

Para acotar el proyecto, hay aspectos que no forman parte del alcance actual, aunque podrían evaluarse a futuro:

  • No pretende ser un SIEM corporativo completo (pero puede integrarse o alimentarlo).
  • No reemplaza sistemas de monitoreo de infraestructura (CPU, memoria, logs técnicos de bajo nivel).
  • No es una herramienta de gestión de identidades (IAM) en sí misma; se integra con soluciones existentes.
  • No intenta cubrir todos los flujos de negocio de las aplicaciones, solo aquellos relevantes para seguridad y auditoría.

Evolución esperada

A medida que la plataforma se consolide, se espera:

  • Incorporar más dominios funcionales y tipos de eventos.
  • Agregar mecanismos de correlación avanzada (por usuario, IP, dispositivo, país, etc.).
  • Integrar nuevos canales de reportes (por ejemplo, Power BI, reportes programados).
  • Aumentar el nivel de automatización y alertas ante patrones de riesgo o acciones inusuales.