🔒 Política de Seguridad de la Información

1. Objetivo

Establecer los lineamientos y controles técnicos y administrativos implementados por Incrementa para proteger la confidencialidad, integridad y disponibilidad de la información de nuestros usuarios y sus clientes.

2. Alcance

Aplica a todos los servicios, sistemas, servidores, desarrolladores y personal con acceso a los datos y recursos de IncrementaCRM.

3. Infraestructura y Disponibilidad

• Los servicios de Incrementa operan en servidores baremetal de IBM Cloud, gestionados por bluWorks Co.
• Se aplican prácticas estándar para actualizaciones de seguridad del sistema operativo y servicios expuestos.

4. Respaldo y Recuperación

• Se realizan respaldos automáticos diarios a las 01:00 AM.
• Los respaldos se almacenan en dos ubicaciones:
• El mismo servidor que contiene la base de datos.
• Un servidor remoto con redundancia geográfica (server.entronico.com).
• Actualmente, los respaldos están comprimidos pero no cifrados. Se contempla implementar cifrado en reposo como mejora futura.

5. Cifrado de Información

• Todo el tráfico entre los usuarios y la plataforma se realiza mediante el protocolo HTTPS protegido por un certificado SSL válido para incrementacrm.com y todos sus subdominios.
• Para proteger la información fiscal sensible (como certificados digitales y contraseñas del SAT), IncrementaCRM emplea cifrado simétrico utilizando el estándar AES-256 en modo CTR, uno de los algoritmos más robustos y confiables actualmente disponibles.
• La información cifrada se almacena en un formato no legible directamente (codificación segura), evitando su exposición en texto plano.
• Además, el sistema valida la correspondencia entre certificados y claves privadas, asegurando que los documentos fiscales cargados sean legítimos, funcionales y estén protegidos.
• Los archivos originales cargados por los usuarios no se almacenan sin cifrar en ningún punto del sistema.

6. Control de Cambios y Registros

• Se guarda un historial de cambios en la configuración de empresas (logs de configuración).
• Se mantienen logs de acceso por usuario y sesión activa. No se ha definido aún el periodo de retención.
• Cada usuario puede tener un máximo de 2 sesiones activas simultáneamente; las demás son revocadas automáticamente.

7. Gestión de Incidentes

• Actualmente no existe un procedimiento documentado para respuesta ante incidentes de seguridad.
• Se considera prioritaria la implementación de un protocolo formal que defina pasos ante:
• Accesos indebidos.
• Fugas de datos.
• Alteración no autorizada de información.
• Notificación a usuarios afectados en caso de incidente.

8. Responsabilidades

• El equipo técnico de Incrementa es responsable de aplicar controles de seguridad y mantener la infraestructura actualizada.
• Los usuarios son responsables de mantener la confidencialidad de sus credenciales.

9. Mejoras Planeadas

• Implementar autenticación multifactor (MFA) en accesos administrativos.
• Cifrado en reposo de toda la base de datos o al menos columnas sensibles.
• Procedimientos formales de gestión de incidentes.
• Registro más robusto y auditoría automatizada de accesos y acciones.

10. Revisión y Actualización

Esta política será revisada y, si es necesario, actualizada al menos cada 12 meses o tras un incidente relevante.