Skip to content
§ COMPLIANCE / 2026 · AUDITOR-READY

Un reporte.
12 reguladores.
Cero letra chica.

Nuestros reportes satisfacen simultáneamente PCI DSS 4.0, ISO 27001:2022, SOC 2 Type II, HIPAA, NIST CSF 2.0 y GDPR — más las leyes locales de protección de datos de Uruguay, Argentina, Brasil, México, Chile y Colombia. Evidencia reproducible, CVSS v3.1, SARIF importable a tu CI/CD.

§ 01 / 02 LATAM · 6 países

Leyes locales de protección de datos.

Seis jurisdicciones LATAM con requisitos crecientes de seguridad técnica y reportabilidad de incidentes. Nuestros reportes incluyen mapping explícito a cada artículo.

País / Ley Artículo clave Exigencia Regulador SLA breach Cómo Rekon lo cubre
Uruguay · Ley 18.331
+ Decreto 66/025 Art. 10 · Decreto art. 4 Medidas técnicas y organizativas apropiadas + evaluación periódica URCDP 72h Pentest anual + retest 30d + evidencia reproducible. Reporte regulatorio pre-formateado.
Argentina · Ley 25.326
+ Res. AAIP 47/2018 Art. 9 · Res. 47 art. 4 Deber de seguridad · medidas técnicas y organizativas adecuadas AAIP 72h (post 2025 ref.) Pentest con CVSS v3.1, mapping a medidas Res. 47 Anexo I, plan de remediación priorizado.
Brasil · LGPD 13.709/2018 Art. 46 · Art. 50 Medidas de seguridad técnicas y administrativas · buenas prácticas y gobernanza ANPD Razonable Pentest + DPIA technical input + evidencia ART 46 + Programa de Governança (Art. 50).
México · LFPDPPP Art. 19 · RLFPDPPP 57 Medidas de seguridad administrativas, físicas y técnicas SNT (ex-INAI) 72h Pentest + inventario de controles + documento de seguridad actualizable por finding.
Chile · Ley 19.628
+ Ley 21.719 (2024) Art. 14 quater Estándar de seguridad proporcional al riesgo · pentesting y monitoreo continuo Agencia Protección Datos 72h Pentest + mapping art. 14 quater + retainer anual con pruebas recurrentes.
Colombia · Ley 1581/2012 Art. 17 · Decreto 1377/2013 Deber de seguridad + manual interno + identificación de riesgos SIC 15 días hábiles Pentest + risk register + evidencia para auditorías SIC ordinarias y extraordinarias.

Todos los reportes incluyen un apéndice regulatorio con el mapping línea-a-línea de cada hallazgo crítico/alto al artículo aplicable, listo para presentar al regulador. Si tu jurisdicción no está acá, escribinos — cubrimos casi toda LATAM + EU.

§ 02 / 02 International · 6 frameworks

Frameworks auditables globalmente.

Seis estándares que tu auditor va a pedir. Nuestros reportes los cubren simultáneamente, con referencias explícitas a cada control.

Framework Control / Requisito Qué exige textualmente Lo que entregamos
PCI DSS 4.0
PCI SSC Req. 11.3.1 · 11.4.1 · 11.4.3 · 6.3 Vuln scans externos trimestrales (ASV) · pentests internos + externos anuales y post-cambio significativo · metodología industry-accepted (NIST/OWASP/OSSTMM) Pentest alineado a PTES + OWASP WSTG + NIST 800-115. Reporte con PCI req-by-req mapping. Retest incluido cubre 11.3.1.3.
ISO 27001:2022
Anexo A A.8.8 · A.8.29 · A.5.7 Gestión de vulnerabilidades técnicas · pruebas de seguridad en desarrollo y aceptación · inteligencia de amenazas Pentest + SARIF output (importable a tu SGSI), playbook de remediación, threat intel del engagement con TTPs MITRE ATT&CK.
SOC 2 Type II
AICPA TSC CC7.1 · CC7.2 · CC4.1 Detección de vulnerabilidades técnicas · monitoreo de componentes que manejan data · evaluación periódica de controles Pentest + evidencia de testing continuous-like (retest 30d + Slack channel con pentester) para observation period de Type II.
HIPAA
HHS · 45 CFR § 164.308(a)(1)(ii)(A) · § 164.308(a)(8) Risk analysis and management · evaluación técnica + no-técnica periódica de los safeguards Pentest con focus en PHI flows, evaluación de safeguards técnicos (164.312), reporte listo para OCR audit.
NIST CSF 2.0
NIST SP 800-53 ref. ID.RA-1 · PR.IP-12 · DE.CM-8 Vulnerabilidades identificadas y documentadas · plan de respuesta a vulnerabilidades · pruebas de detección monitoreadas Pentest con CVSS v3.1 + ATT&CK heatmap, plan de remediación con priorización por risk score, integración SIEM-friendly via SARIF.
GDPR
EU 2016/679 Art. 32 · Art. 33 · Art. 35 Medidas técnicas apropiadas al riesgo · breach notification 72h · DPIA para procesamientos de alto riesgo Pentest + data-flow diagrams + input técnico para DPIA. Reporte regulatorio Art. 33 pre-formateado con timeline, cause, remediation.
§ DELIVERABLES Por finding

Qué recibe tu auditor.

§ PDF · REPORT
Reporte ejecutivo + técnico Sección ejecutiva para board, sección técnica para security team, apéndice regulatorio por framework aplicable.
§ HTML · INTERACTIVE
Reporte HTML interactivo Navegable por severity / framework / component. Búsqueda full-text. Compartible vía link firmado (30d TTL).
§ SARIF · CI/CD
SARIF 2.1.0 estándar Importable a GitHub code scanning, GitLab Security Dashboard, JetBrains Qodana, Azure DevOps Defender.
§ CycloneDX · SBOM
Software Bill of Materials Para Red Team engagements. JSON estándar CycloneDX 1.5. Alineado a EO 14028 (US federal) y NIS2 (EU).
§ REG · APPENDIX
Apéndice regulatorio Mapping línea-a-línea de cada crítico/alto al artículo aplicable (por framework que aplique). Formato entregable directo al regulador.
§ POC · REPRODUCIBLE
PoC scripts ejecutables Bash / Python / curl / Foundry — por cada finding crítico/alto. Tu team reproduce el issue antes y después del fix, sin depender de nosotros.
§ TRUST Nuestra postura

Cómo Rekon cumple.

Para pentestear compliance seriamente, nosotros también cumplimos.

Legal
REKON S.L. · Uruguay · VAT ES-B87████
Contrato + ROE + NDA bilateral firmados antes de cada engagement.
ISO 27001
En implementación · certificación Q3 2026
Anexo A 2022 · SoA disponible bajo NDA
CREST
Pentester acreditado · CRT / CPSA
Empresa en proceso de acreditación CREST · 2026
Datos
Destruidos a 30d post-reporte
Storage cifrado con cliente-specific key · secure wipe verificable
PGP
Public key · 0xREKON...
Comunicación cifrada end-to-end para reportes sensibles.
security.txt
/.well-known/security.txt
RFC 9116 · canal responsable de divulgación
Necesitás pentest para auditoría

Un solo engagement.
Todos los frameworks.

Decinos qué frameworks aplican en tu jurisdicción. Preparamos el apéndice regulatorio antes del reporte.

hello@rekon.sh Leer el blog