🔐 Política de Control de Accesos

1. Objetivo

Establecer las directrices para la asignación, administración y monitoreo de los accesos a los sistemas, módulos y recursos de IncrementaCRM, garantizando que cada usuario tenga únicamente los permisos necesarios según su función.

2. Alcance

Aplica a todo el personal, colaboradores y sistemas internos que tengan acceso a los servicios, infraestructura o información gestionada por IncrementaCRM.

3. Gestión de Accesos

a) Roles definidos

El sistema cuenta con niveles jerárquicos de acceso preestablecidos:

  • Owner: Control total de la cuenta y configuración global.
  • Admin: Gestión operativa avanzada, sin control sobre el propietario.
  • Manager: Supervisión intermedia, con acceso restringido a configuraciones críticas.
  • Vendor: Acceso limitado a información de clientes, ventas y funciones asignadas.

b) Principio de mínimo privilegio

Los permisos asignados a cada usuario se limitan estrictamente a las funciones requeridas por su rol. Ningún usuario tiene más privilegios de los necesarios.

c) Gestión de altas, bajas y modificaciones

  • Los usuarios activos se gestionan mediante un sistema de activación/desactivación (flag) en la base de datos.
  • No se permite acceso a usuarios desactivados.
  • El cambio de rol o permisos requiere acceso como Owner o Admin.
  • No hay acceso automático heredado ni transferencia de roles sin autorización explícita.

d) Límites de sesión

  • Cada usuario puede mantener hasta dos sesiones activas simultáneamente.
  • Si se inicia una nueva sesión desde otro dispositivo, la sesión más antigua es cerrada automáticamente.

4. Autenticación

a) Contraseñas

  • Las contraseñas de usuario deben cumplir con una política de complejidad obligatoria que incluye:
  • Al menos 8 caracteres.
  • Al menos una letra mayúscula, una letra minúscula, un número y un carácter especial.
  • El sistema también valida que la contraseña coincida con su confirmación al ser establecida o modificada.
  • Las contraseñas no son visibles ni almacenadas en texto plano.

b) Autenticación multifactor (MFA)

  • Actualmente no está implementada MFA.
  • Se tiene previsto implementarla en accesos administrativos y operaciones críticas en futuras versiones.

5. Monitoreo y Auditoría

  • Todos los accesos al sistema quedan registrados (usuario, IP, hora).
  • Aún no se ha establecido una política formal sobre el tiempo de retención de logs ni herramientas automáticas de auditoría.
  • Se recomienda establecer alertas o revisiones periódicas para detectar accesos sospechosos.

6. Revisión y mejora continua

Esta política será revisada al menos cada 12 meses o en caso de incidentes de seguridad relacionados con accesos indebidos, violaciones de cuenta o cambios en la infraestructura del sistema.

Elige un plan a la medida de tu negocio.

Prueba gratis por 15 días

Contactar por Whatsapp