Seguridad

Solo lectura. Y nada más.

Conectás Signal con un rol IAM solo lectura. Vemos lo que pagás. No tocamos nada hasta que vos clickeás. Lo revocás cuando quieras desde tu consola AWS.

TL;DR

→Pedimos permisos solo lectura. La policy IAM completa está abajo, sin asteriscos.
→No leemos contenido — ni de S3, ni de bases, ni de logs. Solo metadata + costos.
→Nos revocás en 10 segundos desde la consola AWS. Sin trámites.

La policy completa

Esto es exactamente lo que pedimos.

Sin comodines de escritura, sin acceso a contenido de S3, sin IAM, sin billing más allá de Cost Explorer.

signal-readonly.policy.json

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": [
      "ce:Get*",
      "cloudwatch:Get*",
      "cloudwatch:List*",
      "ec2:Describe*",
      "rds:Describe*",
      "elasticloadbalancing:Describe*",
      "logs:Describe*",
      "s3:ListAllMyBuckets",
      "s3:GetBucketLocation"
    ],
    "Resource": "*"
  }]
}

Si te cierra, agregás el rol con un template CloudFormation de 12 líneas. No hace falta más.

Qué hacemos

→Leemos metadata de recursos: nombre, tipo, tamaño, fecha de creación, métricas de uso.
→Leemos Cost Explorer para correlacionar cada recurso con su precio mensual.
→Detectamos patrones de desperdicio (idle, oversized, sin tráfico, retención eterna).

Qué NO hacemos

✕Contenido de tus buckets S3. Listamos nombres y regiones; nunca abrimos un objeto.
✕Data de tus bases (RDS / DynamoDB). Solo metadata: tamaño, instancia, métricas.
✕Permisos IAM. No podemos crear roles, usuarios, ni tocar policies.
✕Background jobs. Cada borrado pasa por un click tuyo.

Cómo borramos (cuando lo aprobás)

Si hacés upgrade del rol read-only a uno con delete, cada acción corre una a una con tu OK explícito. Snapshot primero cuando aplica (EBS, RDS), dependencias chequeadas (una EBS adjunta no se borra). Si tu infra es IaC, generamos un PR de Terraform.

En nuestros servidores

Tus datos en Signal

Sí guardamos

AWS account ID
ARN del rol IAM
Hallazgos del último escaneo (ID, tipo, costo estimado)

No guardamos

Credenciales (usamos AssumeRole con tokens temporales)
Contenido de tus recursos
Métricas históricas crudas

Encripción

En reposo: AES-256
En tránsito: TLS 1.2+
Borrado en 30 días si cancelás

Cómo revocarnos

Cuatro pasos. Tarda menos de un minuto.

1
AWS Console → IAM → Roles
2
Buscás el rol de Signal
3
Click en Delete (10 segundos)
4
Borrás tu cuenta Signal desde la app o por mail

¿Querés que lo borremos de nuestro lado también? Mandanos un mail a signalfinops@gmail.com.

Compliance

Estado actual

En auditoría

SOC 2 Type II

Reporte esperado para Q3 2026.

Compliant

GDPR

Data processor. Firmamos DPA si lo pedís.

Registrado

Ley 25.326 (AR)

Responsable de tratamiento ante la AAIP.

¿Encontraste algo?

Reportes de seguridad respondidos en 24h. Disclosure responsable agradecido — un T-shirt de Signal va para el primero que reporte algo serio.

signalfinops@gmail.com