Enclave seguro

Autonomous reliability for restricted environments.

Zof generates governed test intelligence, packages it into signed capsules, and executes through customer-controlled runners inside protected networks.

Reserva una sesión informativa de despliegue seguroVer la arquitectura de despliegue

Sin acceso entrante requerido

Sin llamadas a modelos externos desde redes protegidas

Cápsulas de prueba firmadas e inmutables

Ejecución controlada por el cliente con registros de auditoría

El reto

Por qué los entornos seguros necesitan un modelo distinto

Las redes restringidas no se diseñaron para herramientas que requieren acceso entrante, llamadas a modelos no gestionadas o automatización sin gobernanza.

  • -Sin acceso directo a internet hacia las aplicaciones protegidas
  • -Segmentación de red y límites de confianza cero
  • -Gestión de accesos privilegiados y control de cambios
  • -Reglas de prevención de pérdida de datos y manejo de evidencias
  • -Registros de auditoría para cada paso de validación y remediación
  • -Sin llamadas a IA externa no gestionadas desde dentro del enclave
Arquitectura

El modelo de enclave seguro de Zof

La inteligencia y el control operan donde la política lo permite; la ejecución permanece dentro del perímetro del cliente, detrás de una pasarela de transferencia.

Plano de inteligencia

Inteligencia de pruebas gobernada

Se ejecuta en Zof Cloud, nube privada o en las instalaciones, allí donde tu política permita la planificación y la generación.

  • -Análisis de requisitos y flujos de trabajo
  • -Modelado de System Graph y priorización de riesgos
  • -Generación de pruebas y ensamblaje de cápsulas
  • -Planificación de la remediación donde la política lo permite
  • -Sin ejecución de pruebas contra aplicaciones protegidas desde este plano

Plano de control

Aprobaciones gobernadas por el cliente

Tus políticas, firmas y registros de auditoría gobiernan lo que puede ejecutarse en los entornos protegidos.

  • -Aprobación humana y controles basados en roles
  • -Firma criptográfica y verificación de políticas
  • -Versionado y promoción de cápsulas
  • -Programación y enrutamiento de evidencias
  • -Registro de auditoría completo para cada acción

Plano de ejecución

Dentro de tu perímetro

Se ejecuta por completo dentro de la infraestructura controlada por el cliente. Los datos sensibles permanecen dentro a menos que tú apruebes su salida.

  • -Validación local de navegador, API y escritorio
  • -Capturas de pantalla, registros y grabación de vídeo en local
  • -Redacción y paquetes de evidencia locales
  • -Salida opcional saneada o solo de metadatos
  • -Sin dependencia de llamadas a modelos externos en tiempo de ejecución

Arquitectura de enclave seguro

La inteligencia y el control operan fuera del segmento protegido; la ejecución y la evidencia permanecen dentro mediante cápsulas firmadas y runners controlados por el cliente.

Zona de planificación aprobada

Plano de inteligencia

Nube, nube privada u on-premise

Plano de control

Cápsula de prueba firmada

Perímetro de transferencia del cliente

Segmento controlado por el cliente

Plano de ejecución

Gateway de enclave

Edge Runner

Aplicaciones objetivo

Almacén de evidencia local

Salida saneada opcional

Patrones de enclave

Arquitecturas de ejecución tipo enclave

Infraestructura segmentada en la que la planificación puede ocurrir en una zona aprobada, mientras la ejecución y la evidencia permanecen dentro de un perímetro controlado por el cliente.

Ejecución en enclave seguro

Ejecución segmentada con transferencia de cápsulas firmadas.

Zona de planificación aprobadaSegmento protegidoInteligenciaControlGatewayEjecutorAplicacionesEvidencia
Perímetro de ejecución

Perímetro de ejecución controlado por el cliente

Tú defines dónde residen los ejecutores, a qué pueden acceder y cómo salen los artefactos del segmento.

  • -El plano de ejecución permanece dentro de tu perímetro
  • -Los datos sensibles en tiempo de ejecución no son necesarios en un SaaS externo
  • -Resúmenes opcionales solo de metadatos para paneles centrales
  • -Políticas de evidencia y retención por entorno
  • -Listas de permitidos e identidad de ejecutores para auditoría
  • -Se integra con los modelos de segmentación y confianza cero existentes
Cápsulas firmadas

Cápsulas de prueba firmadas

Paquetes inmutables, versionados y aprobados, no scripts improvisados. Los manifiestos restringidos definen exactamente lo que puede ejecutarse.

Ciclo de vida de la cápsula de prueba

Desde la generación gobernada hasta la ejecución firmada y aprobada, cada paso está versionado y es auditable.

AnalizarGenerarEnsamblarAprobarFirmarEjecutar
Pasarela del enclave

Pasarela del enclave

Verifica firmas, aplica políticas, prepara cápsulas, registra cada acción y activa el ejecutor de borde, sin abrir acceso entrante.

Flujo de credenciales PAM

Las credenciales se intermedian en tiempo de ejecución, sin secretos de larga duración almacenados en Zof Cloud.

El runner solicita una sesión
El gateway aplica la política
PAM intermedia la credencial
Se concede acceso con límite de tiempo
Se registra el evento de auditoría
Ejecutor de borde

Ejecutor de borde local

Ejecución desplegada por el cliente que realiza pruebas en local, captura evidencias, aplica redacción y genera informes dentro de la red protegida.

Flujo de ejecución del edge runner

Las cápsulas firmadas pasan por la política del gateway hasta la ejecución local y la captura de evidencia.

Gateway de enclaveEdge RunnerAplicaciones objetivoAlmacén de evidencia local
Segmentación

Soporte para infraestructura segmentada

Ubica pasarelas y ejecutores por VLAN, DMZ, zona OT o unidad de negocio, con políticas ajustadas al riesgo.

  • -Reglas de promoción de cápsulas por segmento
  • -Pilotos conservadores primero en las zonas de mayor riesgo
  • -Cobertura de aplicaciones en DMZ y solo internas
  • -Redes de fabricación y sucursales mediante ejecutores de borde
  • -Herramientas de SOC y administración en segmentos aislados
  • -Amplía tras la aprobación de la arquitectura de seguridad
Telemetría

Salida de telemetría controlada

La telemetría y la evidencia salen únicamente por las rutas que apruebes, con la redacción aplicada primero.

Flujo de telemetría

Captura del ejecutor a través de una salida controlada opcional.

EjecutorAlmacén localRedacciónSalida aprobada
Controles de evidencia

Controles de evidencia y salida de datos

Tú decides cómo sale la evidencia del plano de ejecución, si es que sale.

Modos de flujo de evidencia

Elige cómo sale la evidencia de validación del execution plane.

Solo local

Todas las capturas de pantalla, registros, vídeos e informes permanecen dentro de tu entorno. Sin transferencia de salida.

Salida saneada

Los campos y artefactos aprobados pasan por políticas de redacción antes de salir del execution plane.

Solo metadatos

Comparte resúmenes de aprobado/fallido y metadatos no sensibles para los paneles centrales, sin datos brutos de la aplicación.

Aprobaciones

Flujos de aprobación empresariales

La autorización humana controla la promoción de cápsulas y la remediación gobernada antes de afectar a producción.

Flujo de aprobación de remediación

Ruta gobernada desde la detección hasta la corrección verificada.

DetectarProponerAprobarAplicarVerificarAuditar
Entornos regulados

Ejemplos de entornos regulados

Patrones representativos para servicios financieros, administración sanitaria y segmentación del sector público; no son recomendaciones de clientes.

  • -Segmentos de banca central y procesamiento de pagos
  • -Sistemas administrativos sanitarios con perímetros de PHI
  • -Plataformas de identidad y confianza en arquitecturas DMZ
  • -Validación cercana a la OT de fabricación en el borde
  • -Herramientas de operaciones de seguridad en VLAN de SOC
  • -Consulta los escenarios del centro de despliegue para ver modelos anonimizados
Modos de despliegue

Se adapta a tu modelo operativo

Desde la nube estándar hasta on-premise con aislamiento físico (air-gapped): el mismo modelo de cápsulas gobernadas, con distinta ubicación de cada plano.

Modelo de despliegueDónde se ejecuta la planificación con IADónde se ejecuta la ejecuciónRequisito de conexión a internetModelo de salida de datosCaso de uso idealEstrategia de ventasPrecios
Zof CloudZof CloudRunners gestionados por Zof o del clienteSalida estándarConfigurada por el clienteEquipos cloud-native, pilotos de menor fricciónDesde autoservicio hasta empresaPlanes publicados + empresa
Zof Private CloudNube privada dedicadaRunners controlados por el clienteSalida controlada por políticasLocal-first; salida aprobada opcionalSectores regulados, requisitos de residencia de datosVentas a empresasPersonalizado, contacta con ventas
Zof Hybrid EnclaveNube o nube privadaGateway de enclave + runners en el edgeNo requerida en el segmento protegidoSolo local por defecto; saneada opcionalBancos, seguros, aplicaciones de uso internoSesión informativa de despliegue seguroPersonalizado, contacta con ventas
Zof On-Prem Control PlaneCentro de datos del clienteRunners gestionados por el clienteOpcional / compatible con entornos air-gappedSolo local habitualmenteSin internet, residencia estricta, gobernanza internaRequiere revisión de arquitecturaPersonalizado, contacta con ventas
Zof Local Edge RunnerControl plane emparejadoSucursal, fábrica, sitio en el edgeNo requerida para la ejecuciónEvidencia local; sincronización opcionalSitios distribuidos, redes segmentadasComplemento al despliegue empresarialPersonalizado, contacta con ventas
VPC / VNet del clienteNube o nube privadaRunners en la VPC del clienteSolo salida habitualmenteLocal-first; controlada por políticasSaaS empresarial en tu propia cuenta de nubeRevisión de arquitecturaPersonalizado, contacta con ventas
Ejecución en Kubernetes privadoControl plane aprobado por el clienteAgentes de clúster gestionados por el clienteControlada por políticasEvidencia limitada al espacio de nombresEquipos de plataforma con infraestructuras K8s existentesRevisión de arquitecturaPersonalizado, contacta con ventas
Agentes de endpointControl plane emparejadoEscritorio / VDI / interfaz heredadaRegistro de salida habitualCaptura local; saneada opcionalERP, Citrix, aplicaciones de escritorio internasDespliegue empresarialPersonalizado, contacta con ventas

El precio del despliegue seguro depende del modelo, la huella y el alcance de la implementación. Ver precios de despliegue empresarial

Controles de seguridad

Diseñado para la revisión de seguridad

Controles que esperan tus equipos de seguridad y riesgo, sin atribuirnos certificaciones que no hemos obtenido.

  • SSO/SAML/OIDC y control de acceso basado en roles
  • Ejecutores firmados y listas de permitidos para la ejecución
  • Registros de auditoría de cápsulas, ejecuciones y aprobaciones
  • Intermediación de credenciales compatible con PAM en el momento de la ejecución
  • Políticas de redacción y retención configurables
  • Aprobación humana antes de la remediación gobernada
  • Modos de evidencia: solo local, saneado o solo metadatos
  • Diseñado para admitir modelos de ejecución controlados por el banco
Revisión de seguridad

Lista de verificación para la revisión de despliegue seguro

Usa esta lista de verificación con tus equipos de seguridad, riesgo e infraestructura. Diseñada para complementar, no reemplazar, tu proceso de revisión interno.

  • Revisión de arquitectura

    Documenta la ubicación de los planos de inteligencia, control y ejecución en relación con los segmentos de red.

  • Revisión del flujo de datos

    Mapea qué datos se crean, almacenan y transmiten, incluidas la evidencia y las rutas de salida opcionales.

  • Firma de ejecutores

    Verifica los binarios de los ejecutores, las claves de firma y las listas de permitidos para los hosts de ejecución.

  • Modelo PAM

    Confirma el enfoque de integración para las credenciales privilegiadas en el momento de la ejecución.

  • DLP y redacción

    Define el enmascaramiento de campos, las políticas de capturas de pantalla y la retención de la evidencia local.

  • Registros de auditoría

    Valida el registro de la promoción de cápsulas, las ejecuciones, las aprobaciones y las acciones administrativas.

  • RBAC y SSO

    Alinea los roles de Zof con la identidad corporativa y el acceso de mínimo privilegio.

  • Selección del modelo de despliegue

    Elige nube, nube privada, enclave híbrido, on-premise o borde según las necesidades de segmentación.

  • Almacenamiento de evidencia

    Define dónde residen los artefactos, cuánto tiempo se conservan y quién puede acceder a ellos.

  • Controles de salida

    Selecciona los modos solo local, saneado o solo metadatos por entorno.

  • Modelo de acceso de soporte

    Documenta cuándo puede acceder a los sistemas el personal de Zof y bajo qué flujo de aprobación.

  • Plan de piloto y despliegue

    Define un alcance de piloto conservador, los criterios de éxito y las puertas de expansión a producción.

Descargar la lista de verificación

Compártela con los responsables de seguridad y compras antes de tu revisión de arquitectura.

Ver la lista de verificación de despliegue seguro
Preguntas frecuentes

Preguntas sobre el despliegue seguro

Respuestas para revisores de seguridad, infraestructura y compras.

No. Zof no requiere conexiones entrantes a tu red protegida. Los ejecutores de borde desplegados por el cliente ejecutan cápsulas firmadas en local. La conectividad, si la hay, es saliente y está controlada por políticas.
Next step

Analiza un despliegue seguro con Zof

Revisa la segmentación, la gobernanza de cápsulas y la ubicación de los ejecutores con equipos que dan soporte a empresas reguladas.

Reservar una sesión informativa de despliegue seguroContactar con ventas
01La superficie operativa

Una superficie para la postura, las operaciones y lo que necesita atención a continuación.

La casa Zof no es un panel de marketing. Se trata de los equipos de ingeniería de superficie operativa, control de calidad y SRE que utilizan todos los días, la postura de calidad, las ejecuciones en vuelo, la cobertura por módulo y las acciones que un líder debe considerar a continuación.

KPI OPERACIONALES

  • Carreras
  • Cobertura
  • Riesgo

Viva en todos los entornos a los que realiza envíos.

COLUMNA DE TRABAJO

  • Especificaciones
  • Pruebas
  • Horarios

De la especificación a la regresión programada.

BARANDILLAS

  • RBAC
  • SSO
  • auditoría

Cada acción atribuible a un humano nombrado.

LIVE/console
Centro de comando interno de Zof AI que muestra 12 ejecuciones con un 94 % de aprobación, 3 problemas críticos abiertos, 84 % de cobertura, cuatro barras de trazabilidad de módulos, el proceso de especificaciones, próximos cronogramas y las próximas acciones recomendadas con una barra lateral de ejecuciones activas.
Vista de inicio · Servicio de pago · Puesta en escena · capturado en vivo desde el producto.
  • 01 · RUNS · 24H

    94% pass

    12 runs across staging

  • 02 · COVERAGE

    84%

    Across four modules

  • 03 · ACTIVE RUNS

    3 running

    Live on this branch

  • 04 · NEXT ACTIONS

    Recommended

    Triage gaps, new spec

Despliegue de enclave seguro de Zof AI: pruebas controladas por el cliente para entornos restringidos