Seguridad y Cumplimiento
Última actualización: Febrero 2025
Equilatero.tech implementa controles de seguridad y políticas de gobierno de datos para proteger la información de nuestros clientes y cumplir con las expectativas del mercado financiero. Este documento resume nuestras políticas y controles técnicos.
1. Política de clasificación de datos
Clasificamos los datos según su sensibilidad y el impacto de una eventual exposición o pérdida:
| Nivel | Descripción | Ejemplos |
|---|---|---|
| Crítico | Datos que podrían causar daño grave si se exponen | Credenciales, claves API, datos financieros de clientes |
| Confidencial | Datos de uso restringido en el marco contractual | PII, información corporativa sensible, valoraciones |
| Interno | Datos para uso interno de la organización | Documentación interna, comunicaciones operativas |
| Público | Información autorizada para divulgación | Contenido del sitio web, material de marketing |
A cada nivel se aplican requisitos de almacenamiento, transmisión y control de acceso proporcionales.
2. Política de retención de datos
Conservamos los datos solo el tiempo necesario para los fines legítimos del tratamiento:
- Datos de contacto y comerciales: mientras exista relación comercial activa; tras la finalización, hasta 5 años por posibles obligaciones legales o disputas.
- Datos transaccionales y financieros: según requisitos normativos aplicables (mínimo 6 años para fines tributarios y contables en Chile).
- Logs de auditoría y acceso: mínimo 1 año; hasta 7 años cuando lo exija regulación.
- Copias de respaldo: según ciclo de backup definido; retención alineada con la política de disaster recovery.
Tras el período de retención, los datos se eliminan o se anonimizan de forma irreversible.
3. Anonimización y enmascaramiento
Para entornos no productivos y análisis, aplicamos:
- Enmascaramiento: sustitución de PII (nombre, RUT, email) por valores ficticios o parcialmente ocultos (ej. RUT: 12.345.678-*) en logs y entornos de desarrollo.
- Anonimización: eliminación o alteración irreversible de identificadores directos e indirectos en conjuntos de datos utilizados para analytics o pruebas.
- Tokenización: sustitución de datos sensibles por tokens no reversibles cuando se requiera referencia cruzada controlada.
El acceso a datos no anonimizados en entornos de desarrollo y staging se limita y registra.
4. Residencia de datos (Data residency)
Los datos se almacenan en regiones específicas según el producto y el acuerdo con el cliente:
- Infraestructura cloud: uso de regiones que permiten cumplir requisitos de residencia (ej. South America – São Paulo para clientes latinoamericanos).
- Backups: ubicados en la misma región o en regiones permitidas por contrato, sin transferencias innecesarias.
- Transferencias internacionales: cuando existan, se documentan y se aplican medidas como cláusulas contractuales tipo o mecanismos equivalentes.
Para requerimientos específicos de residencia (ej. datos solo en Chile), se evalúa caso a caso.
5. Controles específicos
5.1 Encriptación
- En reposo (at rest): AES-256 para bases de datos, almacenamiento de archivos y copias de respaldo.
- En tránsito (in transit): TLS 1.2 o superior para toda comunicación entre cliente y servidor, y entre servicios internos.
5.2 Gestión de accesos
- MFA obligatorio: autenticación multifactor requerida para accesos administrativos y a sistemas que manejan datos sensibles.
- RBAC (Control de acceso basado en roles): permisos asignados por rol; principio de mínimo privilegio aplicado.
- Revisión periódica: revisión y desprovisionamiento de accesos cuando cambian roles o finaliza la relación laboral o comercial.
5.3 Logging y auditoría
- Registro de accesos: eventos de autenticación (login, logout, fallos) y accesos a recursos sensibles.
- Trazabilidad: registros de quién accedió a qué, cuándo y desde dónde; conservados según política de retención.
- Integridad de logs: almacenamiento protegido contra alteración y borrado no autorizado.
6. Cumplimiento OWASP y seguridad de aplicaciones web
Para nuestras aplicaciones web adoptamos prácticas alineadas con OWASP Top 10 y estándares de la industria:
- Desarrollo siguiendo principios de seguridad por diseño (secure by design).
- Revisión de código y uso de herramientas de análisis estático cuando aplica.
- Pentesting anual (externo): pruebas de penetración realizadas por proveedor externo independiente, con informe de hallazgos y plan de remediación.
Los resultados se revisan internamente y las correcciones se priorizan según criticidad.
7. Actualizaciones
Estas políticas se revisan periódicamente y se actualizan según cambios normativos, de producto o de infraestructura. Cualquier cambio relevante se publicará en esta página con la fecha de actualización.
8. Contacto
Para consultas sobre seguridad, cumplimiento o auditorías, utiliza el formulario de contacto o escríbenos directamente.