Seguro Cyber Liability
Guía de contratación interna. Junto con E&O, esta es la póliza más crítica para Lawra. Define los requisitos mínimos para la póliza Cyber de Lawra, S.R.L. Aprobado por la Asamblea en fecha [__]. Versión: 1.0.
1. Por Qué Cyber es Especialmente Crítico para Lawra
1.1. Lawra procesa datos legales altamente sensibles: contratos, litigios, estrategias de defensa, información confidencial de clientes de los usuarios. Un breach de datos de la plataforma podría exponer información privilegiada de múltiples clientes simultáneamente, generando responsabilidades masivas.
1.2. Exposiciones específicas de Lawra:
| Riesgo | Descripción |
|---|---|
| Data breach | Acceso no autorizado a conversaciones, documentos o datos de usuarios almacenados en Firebase/Firestore |
| Ransomware | Cifrado de sistemas y extorsión; interrupción del servicio |
| AI-specific risks | Envenenamiento de modelos, prompt injection que filtre datos de un usuario a otro |
| Insider threat | Empleado o contratista con acceso que exfiltra datos de clientes |
| Proveedor comprometido | Breach en Firebase, Google Cloud u otro proveedor clave |
| Responsabilidad regulatoria | Violación de Ley 172-13 (RD), GDPR (usuarios UE), CCPA (usuarios California), LGPD (Brasil) |
2. Estructura de la Cobertura
2.1. Primera Parte (First Party) — Daños propios de Lawra
| Cobertura | Qué cubre |
|---|---|
| Respuesta a incidentes | Costos de investigación forense, notificación a usuarios afectados, monitoreo de crédito |
| Interrupción del negocio (BI) | Pérdida de ingresos durante tiempo de inactividad por cyber incident |
| Extorsión / Ransomware | Pago de rescate (si las autoridades lo autorizan) + costos de negociación |
| Restauración de datos | Costos técnicos de recuperación de datos y sistemas |
| Gestión de crisis y PR | Costos de comunicación de crisis a usuarios y medios |
2.2. Tercera Parte (Third Party) — Reclamaciones de terceros
| Cobertura | Qué cubre |
|---|---|
| Responsabilidad por privacidad | Reclamaciones de usuarios por exposición de sus datos |
| Responsabilidad regulatoria | Multas y costos de defensa ante reguladores (INDOTEL, autoridades GDPR, etc.) |
| Responsabilidad por transmisión | Daños a terceros causados por malware propagado desde los sistemas de Lawra |
| Responsabilidad multimedia | Reclamaciones por contenido publicado (si aplica) |
3. Coberturas Mínimas Recomendadas
| Concepto | Mínimo para etapa Seed | Target para Serie A |
|---|---|---|
| Límite por incidente | USD 500,000 | USD 2,000,000 |
| Límite agregado anual | USD 1,000,000 | USD 3,000,000 |
| Sublímite respuesta a incidentes | USD 250,000 | USD 500,000 |
| Sublímite interrupción de negocio | USD 100,000 (3 meses MRR) | USD 500,000 |
| Sublímite extorsión/ransomware | USD 250,000 | USD 500,000 |
| Deducible | USD 5,000–10,000 | USD 10,000–25,000 |
| Territorio | Worldwide | Worldwide |
4. Requisitos de Seguridad para Suscripción
Los aseguradores de Cyber evaluarán el nivel de seguridad de Lawra. Tener implementados antes de cotizar:
- Autenticación multi-factor (MFA) habilitada para todos los accesos de empleados
- Cifrado de datos en tránsito (TLS 1.2+) y en reposo (Firebase encryption at rest)
- Respaldos regulares con prueba de restauración
- Política de parches y actualizaciones de seguridad (ver infosec-policy.md)
- Control de acceso basado en roles (RBAC) — mínimo privilegio
- Plan de respuesta a incidentes documentado (incident-response-plan.md)
- Capacitación anual de empleados en seguridad
- Inventario de activos y datos críticos
Cuanto mayor el nivel de seguridad demostrable, menor será la prima y mayor la cobertura disponible.
5. Cláusulas Específicas para IA
5.1. Verificar que la póliza NO excluya:
- Incidentes causados por o relacionados con sistemas de inteligencia artificial
- Datos procesados por modelos de IA de terceros (Google Gemini, etc.)
- Reclamaciones derivadas de output de IA (en coordinación con E&O)
5.2. Algunas aseguradoras modernas incluyen riders específicos para IA:
- AI bias / discriminatory output liability — si la IA produce resultados discriminatorios
- Prompt injection coverage — si un ataque de prompt injection causa breach de datos
Preguntar explícitamente a cada asegurador/broker.
6. Proveedores de Referencia
| Aseguradora / Broker | Notas |
|---|---|
| Chubb (via Marsh/Willis) | Líder en Cyber para tech; clausulado sólido incluyendo IA |
| AIG CyberEdge | Producto líder en mercado, amplia red de respuesta a incidentes |
| Coalition | Especialista en cyber para startups tech; cotización online; incluye monitoreo continuo |
| At-Bay | Insurtech cyber especializado; activo en LatAm |
| Seguros Universal + reaseguro | Para cobertura local con soporte internacional |
| Hiscox | Opción para startups pequeñas con cobertura cyber básica |
Recomendación: Coalition o At-Bay para etapa Seed (cotización online, proceso ágil, precio competitivo para tech). Para Serie A+, Chubb o AIG vía Marsh.
7. Rango de Primas Estimadas
| Límite | MRR < USD 20K | MRR USD 20K–100K |
|---|---|---|
| USD 1M / USD 1M agg. | USD 3,000–6,000/año | USD 5,000–10,000/año |
| USD 2M / USD 3M agg. | USD 6,000–12,000/año | USD 10,000–20,000/año |
Las primas varían significativamente según el nivel de seguridad implementado. Empresas con MFA obligatorio, EDR y segmentación de red pueden ver descuentos del 20–40% vs. la línea base.
8. Obligaciones Post-Contratación
- Notificación inmediata al asegurador ante cualquier incidente de seguridad o amenaza de reclamación; no investigar sin notificar primero
- Panel de proveedores: la mayoría de pólizas cyber incluyen un panel de empresas forenses y legales pre-aprobadas; usar ese panel para que los costos queden cubiertos
- Mantener los controles de seguridad declarados al suscribir; cambios materiales (ej.: dejar de usar MFA) deben notificarse
- Revisar cobertura ante: nuevas funcionalidades, nuevas jurisdicciones, crecimiento significativo de usuarios
Versión 1.0 — Aprobado por la Asamblea en [__]. Responsables: CTO (Luishy Medina) — controles técnicos; Gerente — contratación y renovación. Próxima revisión: 60 días antes de cada vencimiento.
Comments
Loading comments...