Política de Onboarding / Offboarding
Política de gobernanza interna. Establece quién es responsable, qué SLAs aplican, cómo se audita y cómo se manejan excepciones en los procesos de incorporación y salida de miembros del equipo. Complementa los workflows operativos (
workflow-onboardingyworkflow-offboarding) con el marco de control y gobierno que requiere el cumplimiento SOC 2. Aprobada por la Asamblea en fecha [__]. Versión: 1.0.
1. Propósito y Alcance
1.1. Esta política establece el marco de gobernanza de los procesos de onboarding y offboarding de Lawra, S.R.L. Su propósito es:
- Garantizar que los procesos de incorporación y salida sean consistentes, auditables y seguros;
- Definir claramente las responsabilidades y plazos (SLAs) para cada actor;
- Establecer los controles de auditoría requeridos por el estándar SOC 2 (en particular, los criterios CC6.2 y CC6.3 sobre gestión de accesos lógicos);
- Proveer un mecanismo documentado para el manejo de excepciones;
- Integrar coherentemente esta política con los procesos de Background Check, Control de Acceso y Gestión de Activos.
1.2. Aplica a:
- Todos los empleados (tiempo completo y tiempo parcial);
- Contratistas y asesores con acceso a sistemas o datos confidenciales de Lawra;
- Trabajadores temporales o en período de prueba.
1.3. No aplica a proveedores o terceros gestionados mediante el proceso de aprobación de sub-procesadores (ver infosec-policy sección 7).
2. Marco Integrado de Procesos Relacionados
2.1. El proceso de Onboarding / Offboarding no opera en aislamiento. Se integra con los siguientes procesos y documentos:
| Proceso / Documento | Integración |
|---|---|
background-check-policy | El background check es un requisito previo al Onboarding para todos los empleados y contratistas con acceso a datos confidenciales |
access-control-policy | La provisión y desprovisión de accesos son los controles de seguridad más críticos del Onboarding y Offboarding respectivamente |
workflow-onboarding | El runbook operativo de incorporación, con checklists por día y por rol |
workflow-offboarding | El runbook operativo de salida, con checklists de revocación, equipos y prestaciones |
reglamento-interno | El Reglamento es entregado y firmado por el empleado en el Day 1 del Onboarding |
nda-empleados | Firmado antes del primer acceso a sistemas (Day 0 del Onboarding) |
contrato-trabajo | Firmado antes del primer día (Day 0 del Onboarding) |
plan-esop | Carta de Concesión firmada como parte del paquete Day 0 cuando aplique; estatus actualizado en el Offboarding |
infosec-policy | La capacitación de seguridad del Onboarding implementa los requisitos de esta política |
incident-response-plan | Activo si durante el Offboarding se detecta exfiltración de datos o comportamiento anómalo |
3. Propiedad del Proceso
3.1. — Dueño del proceso: el Gerente es el responsable último de que ambos procesos (Onboarding y Offboarding) se ejecuten conforme a esta política.
3.2. — Ejecutores operativos:
| Actividad | Responsable primario | Aprobador |
|---|---|---|
| Verificación de antecedentes (background check) | Gerente | Gerente |
| Preparación de documentos legales | Asesoría Legal (Tanya / Ana Carolina) | Gerente |
| Provisión / revocación de accesos | CTO (Luishy Medina) | Gerente |
| Entrega / recepción de equipos | CTO | Gerente |
| Afiliación / baja SDSS | Gerente + Contador | Gerente |
| Entrevista de salida | Gerente | — |
| Cálculo y pago de prestaciones | Gerente + Contador | Gerente |
| Registro y auditoría del proceso | Gerente | Asamblea (revisión anual) |
3.3. En ausencia del Gerente, sus responsabilidades en este proceso se delegan al socio designado por la Asamblea para casos de ausencia.
4. SLAs — Niveles de Servicio
4.1. Onboarding
| Actividad | SLA | Medición |
|---|---|---|
| Background check iniciado tras oferta condicional | Dentro de 1 día hábil de la oferta | Fecha de envío del formulario de consentimiento |
| Resultado del background check estándar | Máximo 10 días hábiles | Fecha de recepción del reporte |
| Documentos legales preparados y enviados para firma | Mínimo 5 días antes del primer día | Fecha de envío al candidato |
| Cuenta de Google Workspace creada | Mínimo 1 día antes del primer día | Fecha de creación de la cuenta |
| Accesos Day 1 provisionados | Antes de las 10:00 AM del primer día | Log de provisión de accesos |
| Revisión de Day 30 programada | Antes del Day 25 | Invitación enviada al calendario |
| Afiliación SDSS completada | Dentro de los primeros 3 días hábiles del mes siguiente al inicio | Confirmación TSS |
4.2. Offboarding
| Actividad | SLA — Renuncia voluntaria | SLA — Terminación involuntaria |
|---|---|---|
| Revocación de accesos críticos | Último día de trabajo | Inmediata (2 horas) tras notificación |
| Revocación completa de todos los accesos | Último día de trabajo | Mismo día de la notificación |
| Recuperación de activos (equipos) | Último día de trabajo o acuerdo específico | Último día de trabajo o 3 días hábiles si remoto |
| Wipe de datos en equipos recuperados | Dentro de 3 días hábiles post-recuperación | Dentro de 3 días hábiles post-recuperación |
| Liquidación calculada y entregada al empleado | Dentro de los 5 días hábiles post-terminación | Dentro de los 5 días hábiles post-terminación |
| Liquidación pagada | Dentro de los 10 días laborables post-terminación | Dentro de los 10 días laborables post-terminación |
| Baja SDSS notificada al TSS | Dentro del período reglamentario del mes en curso | Dentro del período reglamentario del mes en curso |
| Cierre definitivo del expediente (Day +30) | Day +30 | Day +30 |
4.3. — Incumplimiento de SLAs: Cualquier incumplimiento de SLA debe documentarse con la causa y la acción correctiva. Los incumplimientos de SLAs de revocación de accesos (que son controles SOC 2) se reportan al Gerente de forma inmediata y se registran en el log de excepciones.
5. Registros y Pistas de Auditoría (SOC 2)
5.1. Esta política y los procesos que rige son controles del estándar SOC 2 Trust Services Criteria, específicamente:
- CC6.2 — Prior to issuing system credentials and granting system access, the entity registers and authorizes new internal and external users.
- CC6.3 — The entity removes access to protected information assets when appropriate (e.g., upon termination of employment or contracts or by request of management).
5.2. Para satisfacer estos controles, los siguientes registros deben mantenerse actualizados y estar disponibles para auditoría:
| Registro | Propietario | Ubicación | Retención |
|---|---|---|---|
| Log de provisión de accesos (por persona, sistema, fecha, aprobador) | CTO | Google Sheets / sistema de IT | Vida laboral + 5 años |
| Log de revocación de accesos (por persona, sistema, fecha, hora, ejecutor) | CTO | Google Sheets / sistema de IT | Vida laboral + 5 años |
| Expediente de Onboarding (documentos firmados, resultado BC, accesos) | Gerente | Google Drive (acceso restringido) | Vida laboral + 5 años |
| Expediente de Offboarding (documentos, activos, liquidación, logs) | Gerente | Google Drive (acceso restringido) | 5 años post-terminación |
| Log de excepciones (cualquier desviación del proceso estándar) | Gerente | Google Drive (acceso restringido) | 5 años |
| Matriz de accesos activos (revisión trimestral) | CTO | Google Sheets | Versión actual + 4 versiones anteriores |
5.3. El Gerente revisa la completitud de todos los registros trimestralmente y genera un reporte de estado que se presenta a la Asamblea una vez al año.
5.4. Ante una auditoría SOC 2, el Gerente es responsable de proveer acceso a estos registros al auditor externo dentro del plazo solicitado.
6. Revisión Periódica de Accesos Activos
6.1. Conforme al Art. 10 de la access-control-policy, el CTO realiza una revisión trimestral de todos los accesos activos, verificando que:
- Cada persona activa con acceso a sistemas de Lawra tiene un contrato vigente (empleo o servicios);
- Los accesos asignados son consistentes con el rol actual de la persona;
- No hay accesos de personas que hayan sido dadas de baja.
6.2. El resultado de la revisión trimestral se documenta en el log de auditoría. Las discrepancias encontradas se corrigen dentro de los 5 días hábiles siguientes a la revisión.
6.3. La revisión trimestral es un control SOC 2 obligatorio y su omisión constituye una no conformidad que debe reportarse al Gerente y a la Asamblea.
7. Manejo de Excepciones
7.1. Una excepción es cualquier desviación del proceso estándar de Onboarding u Offboarding. Ejemplos:
- Inicio de trabajo antes de completar el background check;
- Provisión de accesos antes de la firma de todos los documentos legales;
- Inicio sin equipo corporativo asignado;
- Demora en la revocación de accesos en un Offboarding por razones técnicas.
7.2. — Proceso de excepción:
- El responsable que identifica la situación reporta inmediatamente al Gerente por correo o mensaje;
- El Gerente evalúa el riesgo y determina los controles compensatorios aplicables (ej. accesos limitados mientras se espera el BC; supervisión aumentada del saliente con accesos temporalmente activos);
- La excepción y los controles compensatorios se documentan en el log de excepciones con: fecha, descripción, riesgo evaluado, controles compensatorios, responsable, y fecha de cierre esperada;
- El Gerente confirma el cierre de la excepción cuando los controles compensatorios han sido aplicados y la situación se ha regularizado.
7.3. Ninguna excepción puede otorgar acceso a datos de clientes o a sistemas de producción a una persona que no haya firmado el NDA y el Contrato de Trabajo (o contrato de servicios equivalente).
7.4. Las excepciones recurrentes sobre el mismo aspecto del proceso se usan como insumo para actualizar los procesos operativos y reducir la fricción estructural que las genera.
8. Integración con Background Check
8.1. El background check es un requisito previo obligatorio al Onboarding para:
- Todo empleado a tiempo completo o parcial;
- Todo contratista con acceso a datos confidenciales de clientes o a sistemas de producción.
8.2. El Onboarding no puede completarse (y no se provisionan accesos a datos confidenciales) hasta que:
- El background check haya sido completado sin hallazgos descalificantes; o
- El Gerente haya documentado una excepción fundada (ver sección 7) para casos de inicio condicional con accesos limitados.
8.3. El resultado del background check es archivado por el Gerente en el expediente de Onboarding con acceso restringido. El CTO y el equipo de entrevistas no tienen acceso a este resultado.
9. Integración con Gestión de Activos
9.1. El CTO mantiene un inventario de activos (laptops, periféricos, tokens de seguridad, tarjetas de acceso) actualizado con la asignación por persona.
9.2. En el Onboarding, cada activo asignado se registra en el inventario con la fecha de asignación y las condiciones del equipo.
9.3. En el Offboarding, el inventario de activos asignados se usa como lista de verificación para la devolución. El Acta de Devolución cierra la asignación en el inventario.
9.4. Los equipos devueltos son sometidos a borrado seguro (NIST SP 800-88) antes de reasignarse o disponerse, documentando el proceso.
10. Protección de Datos Personales en los Procesos de RRHH
10.1. Los datos personales recopilados en el Onboarding (cédula, RNSS, cuenta bancaria, datos fiscales, resultado de background check) son tratados conforme a:
- Ley No. 172-13 (R.D.) — Protección de Datos Personales;
- GDPR (para empleados residentes en la UE o con doble residencia);
- La
proteccion-datospolicy de Lawra.
10.2. El expediente de RRHH (físico o digital) tiene acceso restringido al Gerente y al asesor legal. Ningún otro miembro del equipo puede acceder a él sin autorización expresa del Gerente.
10.3. Los datos de empleados ex-trabajadores se mantienen durante el período de retención establecido en esta política y luego se eliminan de forma segura, dejando constancia de la eliminación.
11. Sanciones por Incumplimiento
11.1. El incumplimiento de los SLAs o controles de esta política puede dar lugar a:
- Acciones correctivas documentadas para la persona responsable;
- No conformidades en el proceso de auditoría SOC 2, con el consiguiente impacto en la certificación;
- Si el incumplimiento resulta en una brecha de seguridad: responsabilidad adicional bajo la
infosec-policyy elincident-response-plan.
11.2. Específicamente, la demora injustificada en revocar accesos tras un Offboarding se considera una falla grave de control y se reporta a la Asamblea.
12. Revisión y Modificación
12.1. Esta política se revisa anualmente o ante:
- Cambios materiales en la estructura o tamaño del equipo;
- Hallazgos de auditoría SOC 2;
- Incidentes de seguridad relacionados con la gestión de accesos;
- Cambios en la normativa laboral o de datos personales.
12.2. La revisión genera una nueva versión del documento, con el registro de cambios entre versiones. La Asamblea aprueba cambios materiales.
Próxima revisión: [fecha de adopción + 12 meses].
Referencias Normativas
- Ley No. 16-92 — Código de Trabajo (R.D.) — obligaciones laborales del proceso
- Ley No. 87-01 — Seguridad Social (R.D.) — afiliación y baja del SDSS
- Ley No. 172-13 — Protección de Datos Personales (R.D.)
- GDPR Arts. 5, 6, 89 — Principios de tratamiento + excepciones para empleados (UE)
- SOC 2 Trust Services Criteria CC6.2, CC6.3 — Logical access provisioning and termination
- NIST SP 800-53 AC-2 — Account Management
Adoptada por la Asamblea General de Socios de LAWRA, S.R.L. en fecha [__], conforme consta en el Libro de Actas.
Por LAWRA, S.R.L. — Gerente
Comments
Loading comments...