Política de Seguridad de la Información

1. Introducción y Alcance

La presente Política de Seguridad de la Información establece el marco normativo para proteger los activos de información de AR CAPELLAN Services SRL, asegurando la confidencialidad, integridad y disponibilidad de los datos.

Alcance

Esta política aplica a:

• Todos los empleados, colaboradores y terceros de AR CAPELLAN Services SRL
• Sistemas de facturación electrónica y plataformas de integración con DGII
• Datos de clientes, proveedores y operaciones comerciales
• Infraestructura tecnológica y equipos de la empresa
• Certificados digitales y credenciales de acceso a sistemas fiscales

2. Principios de Seguridad

3. Control de Acceso

3.1 Autenticación de Usuarios

• Contraseñas robustas: Mínimo 12 caracteres con combinación de mayúsculas, minúsculas, números y caracteres especiales
• Cambio periódico: Las contraseñas deben cambiarse cada 90 días
• Autenticación multifactor (MFA): Requerida para acceso a sistemas críticos y portal DGII
• Bloqueo automático: Después de 3 intentos fallidos de acceso

3.2 Gestión de Privilegios

• Principio de mínimo privilegio: usuarios solo tienen acceso a lo necesario para sus funciones
• Segregación de funciones para prevenir conflictos de interés
• Revisión trimestral de permisos y accesos
• Revocación inmediata de accesos al término de la relación laboral

3.3 Acceso Remoto

• Conexiones VPN cifradas para acceso remoto
• Autenticación mediante certificados digitales
• SSH configurado solo con autenticación por llave (puerto personalizado 2013)
• Monitoreo continuo con fail2ban para prevenir accesos no autorizados

4. Seguridad en Facturación Electrónica DGII

4.1 Certificados Digitales

• Custodia segura: Los certificados digitales se almacenan en ubicaciones cifradas con acceso restringido
• Respaldo: Copias de seguridad de certificados en ubicación segura separada
• Renovación oportuna: Seguimiento de fechas de vencimiento con alertas 30 días antes
• No compartición: Los certificados son personales e intransferibles

4.2 Transmisión de Comprobantes Fiscales

• Todas las comunicaciones con DGII utilizan protocolos seguros (HTTPS/TLS 1.2 o superior)
• Validación de certificados SSL del servidor DGII
• Firma digital de todos los documentos electrónicos antes de envío
• Registro de auditoría de todas las transacciones con DGII

4.3 Almacenamiento de Comprobantes

• Retención de comprobantes electrónicos por el período establecido por ley (10 años)
• Respaldos automáticos diarios de base de datos fiscal
• Cifrado de datos en reposo (AES-256)
• Control de versiones para prevenir pérdida de información

5. Seguridad de Infraestructura

5.1 Protección de Servidores

• Firewall: UFW configurado con reglas restrictivas, solo puertos necesarios abiertos
• Antivirus y antimalware: Protección activa con actualizaciones diarias
• Actualizaciones: Parches de seguridad aplicados mensualmente
• Monitoreo: Supervisión 24/7 de intentos de intrusión
• Sistema de detección de intrusos: fail2ban con bloqueo automático de IPs maliciosas

5.2 Seguridad de Red

• Segmentación de red por niveles de seguridad
• Cifrado de comunicaciones internas (SSL/TLS)
• Protección DDoS en capa de aplicación
• Escaneo de vulnerabilidades trimestral

5.3 Copias de Seguridad

• Frecuencia: Respaldos diarios automáticos de base de datos
• Retención: 30 días de respaldos incrementales, 12 meses de respaldos mensuales
• Ubicación: Almacenamiento en sitio secundario cifrado
• Pruebas: Validación mensual de restauración de respaldos
• Alcance: Base de datos, archivos de configuración, certificados digitales

6. Protección de Datos

6.1 Clasificación de Información

• Pública: Información de marketing y contacto general
• Interna: Documentos operativos sin datos sensibles
• Confidencial: Datos de clientes, información financiera
• Crítica: Certificados digitales, credenciales DGII, información fiscal

6.2 Manejo de Datos Personales

• Cumplimiento con Ley 172-13 de Protección de Datos Personales de República Dominicana
• Consentimiento explícito para recolección de datos personales
• Derecho de acceso, rectificación y supresión de datos (Derechos ARCO)
• Notificación de brechas de seguridad en 72 horas

6.3 Cifrado de Datos

• En tránsito: TLS 1.2+ para todas las comunicaciones web y API
• En reposo: AES-256 para bases de datos y archivos sensibles
• Credenciales: Hashing bcrypt para contraseñas
• Dispositivos: Cifrado de disco completo en equipos con información crítica

7. Gestión de Incidentes de Seguridad

7.1 Detección y Reporte

• Monitoreo continuo de logs y eventos de seguridad
• Canal dedicado para reportar incidentes: seguridad@arcapellan.com
• Clasificación de incidentes por severidad (Baja, Media, Alta, Crítica)
• Tiempo máximo de reporte: 1 hora para incidentes críticos

7.2 Respuesta a Incidentes

1. Contención: Aislamiento inmediato del sistema afectado
2. Evaluación: Análisis del alcance y impacto del incidente
3. Erradicación: Eliminación de la causa raíz del incidente
4. Recuperación: Restauración de servicios normales
5. Lecciones aprendidas: Documentación y mejoras preventivas

7.3 Notificaciones

• Notificación a DGII en caso de compromiso de sistema de facturación
• Comunicación a clientes afectados según lo requiera la ley
• Reporte a autoridades competentes cuando aplique

8. Capacitación y Concientización

8.1 Programa de Capacitación

• Inducción de seguridad para nuevos empleados
• Capacitación anual obligatoria en seguridad de la información
• Entrenamiento especializado para usuarios del sistema DGII
• Simulacros de phishing trimestrales

8.2 Prácticas Seguras

• No compartir credenciales de acceso
• Bloqueo de pantalla al ausentarse del puesto de trabajo
• Verificación de remitentes antes de abrir correos o adjuntos
• Uso exclusivo de equipos autorizados para acceso a sistemas empresariales
• Reporte inmediato de actividades sospechosas

9. Cumplimiento y Auditoría

9.1 Auditorías de Seguridad

• Auditoría interna: Semestral, revisión de controles y cumplimiento
• Auditoría externa: Anual, por firma certificada
• Pruebas de penetración: Anual, por especialistas en seguridad
• Revisión de logs: Mensual, análisis de eventos de seguridad

9.2 Marco Regulatorio

Esta política cumple con:

• Norma General 06-2018 de la DGII sobre Comprobantes Fiscales
• Norma General 01-2019 sobre uso del e-Comprobante Fiscal (e-CF)
• Ley 172-13 de Protección de Datos Personales
• Código Tributario de República Dominicana (Ley 11-92)
• Mejores prácticas internacionales ISO 27001

9.3 Sanciones por Incumplimiento

• Medidas disciplinarias según gravedad de la falta
• Suspensión o terminación de acceso a sistemas
• Acciones legales en caso de violaciones graves

10. Responsabilidades

10.1 Dirección General

• Aprobar y respaldar la política de seguridad
• Asignar recursos necesarios para implementación
• Revisar y aprobar excepciones a la política

10.2 Responsable de Seguridad de la Información

• Supervisar la implementación de controles de seguridad
• Coordinar respuesta a incidentes de seguridad
• Realizar evaluaciones de riesgo periódicas
• Mantener actualizadas las políticas y procedimientos

10.3 Todos los Empleados

• Conocer y cumplir la política de seguridad
• Proteger activos de información asignados
• Reportar incidentes y vulnerabilidades detectadas
• Participar en capacitaciones de seguridad

11. Revisión y Actualización

Esta política de seguridad será:

• Revisada anualmente o cuando cambien significativamente las condiciones del negocio
• Actualizada para reflejar nuevas amenazas, tecnologías o requisitos regulatorios
• Comunicada a todos los empleados y partes interesadas
• Publicada en los canales oficiales de la empresa

12. Contacto

Para consultas sobre esta política de seguridad o reportar incidentes: