Workflow: Revisión Anual de Políticas
Runbook de gobierno interno. Garantiza que el corpus de políticas y procedimientos de LAWRA, S.R.L. se mantenga vigente, coherente y alineado con los cambios del negocio, el marco legal y las mejores prácticas de seguridad. Cumple con los controles SOC 2 CC1.4, CC2.1 y A1.1, y con los requerimientos de ISO 27001 A.18.2.2. Aprobado por la Asamblea en [__]. Versión: 1.0.
1. Trigger
- Aniversario de aprobación: cada política tiene una fecha de aprobación inicial. La revisión se activa en el aniversario de dicha fecha (± 30 días de gracia). Luishy Medina mantiene el calendario centralizado de revisiones.
- Cambio normativo: nueva ley, reglamento o norma sectorial que impacta el contenido de una política (ej. nueva versión del Código Tributario, actualización del GDPR, nueva guía de la DGII, cambios en la Ley 172-13).
- Cambio de negocio material: nuevos productos o mercados, adquisición de un cliente Enterprise con requerimientos específicos, nueva certificación SOC 2, cambio de infraestructura significativo.
- Hallazgo de auditoría o pen test: si un hallazgo revela que una política no refleja la práctica real o que una práctica real no tiene cobertura de política.
- Solicitud de socio: cualquier socio puede solicitar la revisión de una política en cualquier momento.
2. Roles y Responsabilidades (RACI)
| Tarea | Responsable | Aprobador | Consultado | Informado |
|---|---|---|---|---|
| Mantenimiento del calendario de revisiones | Luishy Medina | — | Tanya Mejía-Ricart | Carlos Miranda Levy |
| Notificación al owner de la política | Luishy Medina | — | — | Owner de la política |
| Revisión del contenido y recomendación | Owner de la política | — | Tanya / Luishy (según tipo) | — |
| Redacción de cambios | Owner o Tanya (si cambio mayor) | — | Ana Carolina (si aplica IP) | — |
| Aprobación del cambio | Carlos Miranda Levy | Asamblea (cambios mayores) | Tanya | Todos |
| Ratificación por la Asamblea | Asamblea de Socios | — | — | — |
| Actualización del documento y versión | Owner de la política | — | Luishy | — |
| Comunicación del cambio al equipo | Carlos Miranda Levy / CCO | — | — | Todo el equipo |
| Actualización del calendario | Luishy Medina | — | — | — |
3. Inventario de Políticas y Owners
El calendario de revisión se rige por el siguiente inventario. Los owners son responsables del contenido técnico u operativo de su área; Tanya Mejía-Ricart es co-revisora en todos los documentos con implicaciones legales.
| Política / Workflow | Order | Owner Principal | Ciclo de revisión |
|---|---|---|---|
| Acta Constitutiva + Estatutos | 1-5 | Tanya Mejía-Ricart | Por cambio societario (no anual) |
| Acuerdo de Socios | 6 | Carlos Miranda Levy + Tanya | Por cambio societario (no anual) |
| NDA template | 7 | Tanya | Anual |
| MSA template | 8 | Tanya + Ana Carolina | Anual |
| DPA template | 9 | Tanya | Anual (o tras cambio normativo) |
| Política de Privacidad (pública) | 10 | Tanya | Anual |
| Términos de Servicio | 11 | Tanya + Ana Carolina | Anual |
| AUP | 12 | Luishy Medina | Anual |
| Infosec Policy | 29 | Luishy Medina | Anual |
| Política de Control de Acceso | 30 | Luishy Medina | Anual |
| Plan de Respuesta a Incidentes | 31 | Luishy Medina | Anual + tras todo P0 |
| Política de Gestión de Proveedores | 32 | Luishy / Tanya | Anual |
| Política de Retención y Eliminación de Datos | 33 | Tanya | Anual |
| Política de Backup y Recuperación | 34 | Luishy Medina | Anual |
| Workflows Sprint 7B (órdenes 52–63) | 52–63 | Luishy / Tanya / CCO (por tema) | Anual |
4. Clasificación de Cambios
| Tipo de cambio | Descripción | Proceso de aprobación |
|---|---|---|
| Sin cambio | El contenido sigue siendo preciso y vigente. Solo se actualiza la fecha de revisión. | Owner documenta → Gerente confirma → sin Asamblea |
| Cambio menor | Correcciones de redacción, actualización de nombres/roles internos, ajuste de plazos sin impacto material, adición de ejemplos aclaratorios. | Owner propone → Gerente aprueba → sin Asamblea (notificación a socios) |
| Cambio mayor | Modificación de obligaciones, derechos de los socios o clientes, cambio de arquitectura de la política, nuevos controles o eliminación de controles existentes, cambio de plazo de retención de datos, cambio en SLAs comprometidos a clientes. | Owner propone → Tanya revisa → Carlos Miranda Levy valida → ratificación en la Asamblea |
| Reescritura total | La política requiere ser redactada desde cero (cambio normativo mayor, cambio completo de la práctica). | Mismo proceso que cambio mayor; se marca como nueva versión 2.0. |
5. Pasos Numerados
Fase 1 — Programación y Notificación (30 días antes del aniversario)
Paso 1 — Actualización del calendario de revisiones: Luishy mantiene un documento centralizado (hoja de cálculo o sistema equivalente) con: nombre de la política, order, owner, fecha de aprobación inicial, fecha de próxima revisión, estado actual (pendiente / en revisión / completada).
Paso 2 — Notificación al owner: 30 días antes de la fecha de revisión programada, Luishy notifica al owner de la política por correo electrónico con:
- Nombre de la política a revisar.
- Fecha límite de completar la revisión.
- Link al documento actual.
- Checklist de revisión (ver Sección 6).
- Instrucciones para escalar si se identifica un cambio mayor.
Fase 2 — Revisión por el Owner (Días -30 a -10)
Paso 3 — Lectura completa del documento vigente: El owner lee la política completa. Valida cada sección contra:
- ¿Sigue siendo precisa la descripción de los sistemas, herramientas y procesos?
- ¿Han cambiado los roles o responsables mencionados?
- ¿Han cambiado los plazos (SLAs, retenciones, etc.) por acuerdos con clientes?
- ¿Ha habido incidentes o hallazgos de auditoría que revelen brechas en esta política?
- ¿Han cambiado las leyes o normas referenciadas?
- ¿Los sub-procesadores o proveedores mencionados siguen siendo los correctos?
Paso 4 — Clasificación del cambio necesario: El owner clasifica el cambio requerido según la tabla de la Sección 4 (Sin cambio / Menor / Mayor / Reescritura total) y documenta su evaluación.
Paso 5 — Redacción de los cambios:
- Sin cambio: el owner actualiza solo el pie del documento con la nueva fecha de revisión y el campo “Revisado por [nombre] en [fecha]. Sin cambios de fondo.”
- Cambio menor: el owner redacta los cambios directamente en el documento. Usa control de cambios (Track Changes) o documenta los cambios en un memo de 1 párrafo.
- Cambio mayor / reescritura: el owner prepara un borrador de la nueva versión y lo envía a Tanya para revisión legal antes de continuar.
Fase 3 — Revisión Legal (si Cambio Mayor) (Días -10 a 0)
Paso 6 — Revisión por Tanya (cambios mayores): Tanya revisa el borrador desde la perspectiva legal:
- Coherencia con el DPA estándar y MSA.
- Cumplimiento de las leyes referenciadas (Ley 172-13, GDPR, Ley 479-08, Ley 53-07, etc.).
- Consistencia con las demás políticas del corpus (no contradicciones).
- Suficiencia de la protección para LAWRA en caso de disputa.
Tanya emite su revisión con comentarios o aprobación dentro de los 5 días hábiles de recibir el borrador.
Paso 7 — Incorporación de comentarios de Tanya: El owner incorpora los comentarios de Tanya. Si hay desacuerdo en algún punto, se escala a Carlos Miranda Levy para decisión.
Fase 4 — Aprobación (Day 0)
Paso 8 — Aprobación del Gerente:
Para cambios sin cambio o cambio menor: El owner envía el documento revisado a Carlos Miranda Levy. Carlos confirma por correo electrónico su aprobación. No se requiere convocar Asamblea. Carlos notifica a los socios de los cambios menores por circular.
Para cambios mayores o reescrituras: Carlos Miranda Levy revisa y, si está de acuerdo, lleva el documento a la siguiente Asamblea de Socios (Ordinaria o Extraordinaria) para ratificación formal. El Acta de la Asamblea registra la versión aprobada de la política. Ver Workflow: Convocatoria + Ejecución de Asamblea (orden 59).
Decisión A: ¿El cambio requiere ratificación de la Asamblea?
- Cambio mayor / reescritura: Sí. El documento no se publica como vigente hasta que la Asamblea lo ratifique.
- Sin cambio / cambio menor: No. El Gerente aprueba y se publica.
Paso 9 — Actualización del número de versión y metadatos: El owner actualiza en el frontmatter del documento:
- Campo de versión (1.0 → 1.1 para cambio menor; 1.1 → 2.0 para cambio mayor / reescritura).
- Texto “Aprobada por la Asamblea en [fecha]” o “Aprobada por el Gerente en [fecha].”
- Fecha de próxima revisión (+ 12 meses).
Fase 5 — Publicación y Comunicación (Day 0–3)
Paso 10 — Publicación del documento actualizado: Luishy (o el owner, según la arquitectura del repositorio) hace commit del documento actualizado al repositorio. El commit incluye en el mensaje: tipo de cambio, versión anterior → versión nueva, resumen del cambio.
Paso 11 — Comunicación al equipo: Para cambios menores y mayores, Carlos Miranda Levy o CCO comunica al equipo (por correo o canal interno) qué política fue actualizada y el resumen del cambio relevante para las operaciones diarias.
Para cambios mayores, si la política afecta directamente a clientes (ej. DPA, ToS, Privacy Policy), CCO coordina la notificación a clientes según los plazos contractuales y legales aplicables.
Paso 12 — Actualización del calendario: Luishy actualiza el calendario de revisiones: marca la revisión como completada, registra el tipo de cambio, y establece la nueva fecha de próxima revisión.
Fase 6 — Revisión del Corpus Completo (Una vez al año, Q1)
Paso 13 — Revisión holística del corpus: Una vez al año (idealmente en Q1, coordinada con la Asamblea Ordinaria), Luishy y Tanya realizan una revisión del corpus completo:
- ¿Hay políticas duplicadas o contradictorias que deban consolidarse?
- ¿Hay prácticas operativas sin política que las cubra (gaps)?
- ¿Hay políticas obsoletas que deban ser archivadas o eliminadas?
- ¿El corpus está alineado con el roadmap del negocio para el año siguiente?
El resultado de esta revisión holística se presenta en la Asamblea Ordinaria como parte del reporte de gobierno interno.
6. Checklist de Revisión (para el owner)
Para cada sección de la política revisada:
- Los sistemas y herramientas mencionados siguen siendo los que usa LAWRA.
- Los roles y responsables mencionados son los actuales.
- Los plazos (SLAs, retenciones, notificaciones) son consistentes con los contratos vigentes con clientes y proveedores.
- Las referencias normativas (leyes, normas, estándares) están vigentes y no han sido modificadas materialmente.
- Los sub-procesadores mencionados siguen estando en el Registro de Sub-procesadores.
- No ha habido un incidente, hallazgo de auditoría o pen test que revele una brecha en esta política.
- La política es coherente con las demás políticas del corpus (no contradicciones).
- Los controles descritos en la política son los que el equipo realmente ejecuta (no “políticas de papel”).
7. Outputs / Artifacts
- Calendario de revisiones actualizado.
- Memo de evaluación del owner (o comentario en el documento).
- Documento actualizado con nueva versión y metadatos.
- Acta de Asamblea ratificando cambios mayores.
- Comunicación al equipo del cambio.
- Reporte holístico del corpus (anual).
8. Métricas / KPIs
| Métrica | Objetivo |
|---|---|
| Políticas revisadas en su aniversario (± 30 días) | 100 % |
| Políticas con versión desactualizada (> 13 meses sin revisión) | 0 |
| Cambios mayores ratificados por la Asamblea | 100 % |
| Políticas con gaps identificados en la revisión holística anual | < 2 (en curso de resolución) |
| Tiempo promedio de ciclo de revisión (notificación → publicación) | < 30 días |
9. Referencias
- Corpus completo de políticas de LAWRA, S.R.L. (órdenes 1–63+)
- Workflow: Convocatoria + Ejecución de Asamblea (orden 59)
- Plan de Respuesta a Incidentes (orden 31) — las lecciones aprendidas de incidentes alimentan la revisión de políticas
- Workflow: Penetration Test Scheduling (orden 62) — los hallazgos del pen test pueden requerir actualización de políticas
- SOC 2 CC1.4 — Demonstrates a commitment to competence; CC2.1 — Communicates internally about objectives; A1.1 — Capacity planning
- ISO 27001 A.18.2.2 — Compliance with security policies and standards
- NIST Cybersecurity Framework (CSF) — Govern function
10. Auditoría
| Registro | Retención | Evidencia SOC 2 |
|---|---|---|
| Versiones históricas de todas las políticas | Permanente (Git history) | CC1.4 / CC2.1 |
| Memos de evaluación del owner por revisión | 5 años | CC1.4 |
| Actas de Asamblea ratificando cambios mayores | Permanente | CC1.4 |
| Comunicaciones al equipo sobre cambios | 3 años | CC2.1 |
| Calendario de revisiones con historial de fechas | 5 años | CC1.4 |
| Reporte holístico anual del corpus | 5 años | CC1.4 |
Adoptado por la Asamblea General de Socios en fecha [__]. Próxima revisión: [fecha + 12 meses]. Próxima revisión holística del corpus: Q1 [año siguiente].
Por LAWRA, S.R.L. — Gerente
Comments
Loading comments...