Politica de Seguridad
Documento formal vigente que define controles de seguridad de la informacion.
Innovation x Operations SRL
133633418
Anexo 1.1 - Politica de Seguridad
1.0
30 de abril de 2026
Vigente
Jovanny Lora, Gerente
Uso institucional / Publicacion corporativa
1. Objeto
Establecer la politica formal de seguridad de la informacion de Innovation x Operations SRL para proteger la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la informacion, los sistemas y los servicios relacionados con facturacion electronica.
2. Alcance
Aplica a colaboradores, contratistas, proveedores y terceros que accedan, administren, procesen o transmitan informacion de la empresa o de sus clientes.
Incluye plataformas, aplicaciones, bases de datos, infraestructura, redes, respaldos, registros de auditoria, documentacion tecnica, ambientes productivos y ambientes de prueba.
3. Principios de seguridad
- Confidencialidad: acceso solo para personal autorizado y bajo necesidad de conocer.
- Integridad: datos, documentos y configuraciones deben mantenerse completos y protegidos contra cambios no autorizados.
- Disponibilidad: los servicios criticos deben contar con continuidad, respaldo, monitoreo y recuperacion.
- Trazabilidad: las actividades relevantes deben quedar registradas en bitacoras protegidas y revisables.
- Cumplimiento: las operaciones deben alinearse con leyes aplicables, contratos vigentes y obligaciones internas de control.
4. Roles y responsabilidades
| Rol | Responsabilidades principales |
|---|---|
| Gerencia | Aprobar la politica, asignar recursos, velar por su cumplimiento y autorizar excepciones documentadas. |
| Responsable de seguridad / tecnologia | Definir controles, administrar accesos, coordinar revisiones, monitorear riesgos y dirigir la respuesta a incidentes. |
| Usuarios internos | Usar los recursos de forma autorizada, proteger credenciales, reportar incidentes y cumplir procedimientos operativos. |
| Proveedores y terceros | Cumplir acuerdos de confidencialidad, controles de acceso, requisitos contractuales y politicas de seguridad aplicables. |
5. Controles minimos de seguridad
| Control | Lineamiento |
|---|---|
| Gobernanza y riesgos | Mantener inventario de activos, evaluar riesgos y revisar controles al menos una vez al ano o ante cambios relevantes. |
| Control de acceso | Asignar accesos por rol, aplicar minimo privilegio, revocar accesos al finalizar la relacion laboral o contractual y revisar usuarios privilegiados periodicamente. |
| Autenticacion | Usar credenciales unicas, contrasenas robustas y autenticacion multifactor cuando aplique. Esta prohibido compartir contrasenas. |
| Seguridad de aplicaciones | Aplicar gestion de cambios, segregacion de ambientes, revision de codigo o configuracion critica y pruebas antes de pasar a produccion. |
| Cifrado y comunicaciones | Proteger la transmision de datos por canales seguros y resguardar llaves, certificados y secretos con acceso restringido. |
| Operacion segura | Monitorear disponibilidad, errores, eventos de seguridad y capacidad. Mantener procedimientos de respaldo, recuperacion y operacion documentados. |
| Bitacoras | Conservar registros de eventos relevantes, accesos administrativos, cambios criticos, errores, fallas y actividades de soporte para trazabilidad y auditoria. |
| Gestion de incidentes | Registrar, clasificar, contener, investigar y cerrar incidentes de seguridad. Los incidentes con impacto a clientes o datos sensibles deben escalarse a la Gerencia. |
| Gestion de proveedores | Evaluar riesgos de terceros con acceso a informacion o sistemas y formalizar obligaciones de confidencialidad, seguridad y continuidad. |
| Capacitacion | Comunicar esta politica al personal y reforzar buenas practicas de seguridad, proteccion de datos y prevencion de fraude. |
6. Uso aceptable de recursos tecnologicos
Los activos tecnologicos de la empresa deben utilizarse unicamente para fines autorizados.
No se permite instalar software no aprobado, desactivar controles de seguridad, extraer informacion sin autorizacion, almacenar contrasenas en texto plano, enviar informacion sensible por canales no protegidos ni utilizar cuentas compartidas para operaciones criticas.
7. Gestion de cambios y configuracion
Todo cambio que pueda afectar ambientes productivos, integraciones, disponibilidad o seguridad debe registrarse, evaluarse, probarse y aprobarse antes de su implementacion.
Los cambios de emergencia deben documentarse posteriormente con justificacion, responsable, fecha, impacto y evidencia de validacion.
8. Conservacion de evidencias y auditoria
La empresa conservara evidencias de accesos, cambios, respaldos, restauraciones, incidentes y acciones de soporte por el plazo definido internamente o requerido por contrato o normativa aplicable.
Las evidencias deben mantenerse protegidas contra alteracion, eliminacion no autorizada y acceso indebido.
9. Revision, excepciones y vigencia
La politica entra en vigencia desde su aprobacion y debe revisarse al menos anualmente o cuando existan cambios relevantes en la operacion, tecnologia, normativa o riesgos.
Toda excepcion debe ser aprobada por la Gerencia, estar documentada y contar con controles compensatorios.