ES Español FR Français DE Deutsch IT Italiano ZH 中文 JA 日本語 PT Português AR العربية
← Workspace

📄 Documento 29 de 95

Política de Seguridad de la Información

Política rectora de seguridad de la información de Lawra, S.R.L. Cubre principios CIA, gobernanza, clasificación de datos, seguridad operativa, terceros, capacitación. Base de cumplimiento SOC 2 + Ley 53-07 + Ley 172-13.

⚠️ Documento interno. Borrador para revisión legal por abogado dominicano colegiado antes de notarización.

Política de Seguridad de la Información

Política rectora interna. Establece los principios de seguridad que aplican a todos los activos de información de Lawra, S.R.L. Aprobada por la Asamblea General de Socios en fecha [__]. Versión: 1.0.

1. Propósito y Alcance

1.1. Esta política protege la confidencialidad, integridad y disponibilidad (tríada CIA) de los activos de información de Lawra y de los datos que ésta procesa por cuenta de clientes.

1.2. — Aplica a: todos los socios, empleados, contratistas, consultores, becarios, asesores y terceros con acceso a sistemas o información de Lawra.

1.3. — Cubre: datos electrónicos, comunicaciones, código fuente, prompts del sistema de IA, configuraciones, documentos físicos, equipos y servicios cloud.

2. Principios

2.1. — Confidencialidad — La información se accede solo por quienes tienen autorización legítima. 2.2. — Integridad — La información es exacta, completa y se modifica solo por procesos autorizados. 2.3. — Disponibilidad — La información y los sistemas están accesibles cuando se necesitan. 2.4. — Mínimo privilegio — Acceso solo a lo estrictamente necesario para el rol. 2.5. — Defensa en profundidad — Múltiples capas de control (técnicos, organizativos, físicos). 2.6. — Responsabilidad y trazabilidad — Acciones registradas y atribuibles. 2.7. — Privacidad by design — Protección de datos personales integrada desde el diseño.

3. Gobernanza

3.1. — Responsabilidad última: El Gerente es el responsable último de seguridad ante la Asamblea.

3.2. — Oficial de Cumplimiento (recomendado): Lawra designará a un Oficial de Cumplimiento responsable de:

  • Mantener actualizadas las políticas;
  • Coordinar respuesta a incidentes;
  • Reportar a la Asamblea trimestralmente;
  • Servir de punto único de contacto con autoridades reguladoras.

3.3. — Comité de Seguridad (cuando la sociedad alcance ≥10 personas): integrado por Gerente + Oficial de Cumplimiento + representante técnico, reunido mensualmente.

4. Clasificación de la Información

NivelDescripciónEjemplosManejo
PúblicaDifundible sin restricciónContenido en lawra.io, marketingSin restricción
InternaSolo para personal autorizadoRoadmaps, métricas operativas, documentos de procedimientoAcceso por necesidad de saber
ConfidencialDaño material si se divulgaCódigo fuente, prompts del sistema, datos de clientes, financieros internosCifrado en tránsito + reposo, acceso registrado
Restringida / Secretos comercialesDaño grave o irreparable si se divulgaModelos de IA, fórmulas algorítmicas, contraseñas maestras, llaves criptográficasCifrado obligatorio, acceso solo por roles específicos, dual-control para ciertos casos

5. Controles Técnicos Mínimos

5.1. — Identidad y autenticación:

  • MFA obligatorio en todas las cuentas (corporativas + servicios cloud).
  • Single Sign-On (SSO) cuando técnicamente factible.
  • Contraseñas: mínimo 12 caracteres, combinación, sin reutilización (ver Password Policy).

5.2. — Cifrado:

  • En tránsito: TLS 1.2+ obligatorio.
  • En reposo: AES-256 o equivalente para todo dato confidencial / restringido.
  • Llaves: gestionadas en KMS / HSM, rotación periódica.

5.3. — Access Control: ver access-control-policy.

5.4. — Logging y monitoreo:

  • Logs de acceso a Datos Personales con retención mínima de 12 meses.
  • Alertas automáticas para eventos de seguridad (login fallido masivo, escalada de privilegios, acceso fuera de horario).
  • Revisión mensual de logs.

5.5. — Vulnerability management:

  • Escaneo de dependencias (Dependabot u equivalente) — revisión mensual.
  • Penetration test anual por tercero independiente.
  • Parches de seguridad críticos aplicados dentro de 72 horas.

5.6. — Backup:

  • Backups cifrados, automatizados, con verificación trimestral de restauración.
  • Retención mínima de 90 días para producción.

5.7. — Endpoint security:

  • Equipos del personal con disco cifrado obligatorio (BitLocker, FileVault).
  • Antivirus / EDR activado (Microsoft Defender for Business o equivalente).
  • Bloqueo automático de pantalla tras 5 minutos.

6. Seguridad Organizativa

6.1. — Capacitación:

  • Onboarding de seguridad obligatorio para todo nuevo miembro del equipo en su primera semana.
  • Refresher anual de InfoSec.
  • Phishing simulations trimestrales.

6.2. — Background checks: (ver Background Check Policy, Sprint 6).

6.3. — Acuerdos de confidencialidad: firmados antes de acceso a sistemas (NDA empleados / contratistas).

6.4. — Acceso físico:

  • Oficinas con acceso restringido (cuando exista oficina).
  • Bloqueo de salas con material confidencial.
  • Visitantes registrados y acompañados.

7. Gestión de Terceros / Sub-procesadores

7.1. Todo proveedor o sub-procesador con acceso a datos confidenciales debe:

  • Firmar DPA con cláusulas mínimas (ver dpa-cliente);
  • Demostrar SOC 2 Type 2 o equivalente (cuando proceda);
  • Estar listado en la Lista de Sub-procesadores mantenida en proteccion-datos.

7.2. — Revisión anual de cumplimiento de los sub-procesadores principales.

8. Incidentes

Todo incidente de seguridad se gestiona conforme al Plan de Respuesta a Incidentes (incident-response-plan). Todos los miembros del equipo deben reportar sospechas inmediatamente al Oficial de Cumplimiento o al Gerente.

9. Cumplimiento Normativo

Esta política implementa los requisitos de:

  • Ley No. 172-13 (R.D.) — Protección de Datos Personales
  • Ley No. 53-07 (R.D.) — Crímenes y Delitos de Alta Tecnología
  • GDPR Art. 32 — Seguridad del tratamiento (UE)
  • LGPD Art. 46-49 — Seguridad de datos (Brasil)
  • SOC 2 Trust Services Criteria — Security
  • Ley No. 155-17 (R.D.) — Anti-lavado (componente de seguridad)

10. Sanciones

El incumplimiento de esta política puede dar lugar a:

  • Acciones disciplinarias (amonestación, suspensión, terminación con justa causa);
  • Acciones civiles por daños y perjuicios;
  • Acciones penales bajo Ley 53-07 cuando aplique.

11. Revisión y Modificación

Esta política se revisa anualmente o ante cambios materiales en operaciones, normativa o tecnología. Modificaciones materiales requieren aprobación de la Asamblea.

Próxima revisión: [fecha de adopción + 12 meses].

Adoptada por la Asamblea General de Socios de LAWRA, S.R.L. en fecha [__], conforme consta en el Libro de Actas.

Por LAWRA, S.R.L. — Gerente

Comments

Loading comments...

0/2000 Comments are moderated before appearing.
Ctrl+K

No results found