Políticas y Procedimientos de Seguridad informática y de tratamiento de datos sensibles

Seguridad de red y dispositivos
 Implementamos seguridad de red en capas con firewalls con IDS/IPS, segmentación de red y arquitectura DMZ. Las bases de datos y servidores de archivos solo son accesibles desde redes internas o VPN. Los dispositivos de desarrollo requieren MFA y conexiones cifradas. El acceso está restringido por roles y toda la actividad es registrada. Se realizan auditorías mensuales.

1. Gestión de identidad y acceso (IAM)
    La información de Amazon se gestiona mediante un sistema centralizado de IAM. Cada usuario tiene una ID única y se asigna acceso por RBAC según el principio de mínimo privilegio. Todo acceso requiere aprobación de la dirección y MFA. Se revisa trimestralmente y se revoca de inmediato tras cambios de rol o bajas.
2. Prevención de pérdida de datos y controles en dispositivos
    Aplicamos políticas estrictas de DLP junto con MDM y protección de endpoints. Los puertos USB están deshabilitados por defecto y se bloquean apps en la nube no autorizadas. Todas las transferencias se registran y supervisan. Alertas en tiempo real notifican al equipo de seguridad sobre actividad sospechosa.
3. Almacenamiento y cifrado de datos de Amazon
    Los datos de Amazon se almacenan en centros de datos seguros en la UE y nubes privadas. Se cifran con AES-256, y las claves se gestionan mediante un KMS centralizado. El acceso requiere MFA. Se audita regularmente para garantizar la seguridad y cumplimiento normativo.
4. Copias de seguridad y retención de datos
    Las copias de seguridad se realizan en instalaciones locales seguras y nubes privadas. Se cifran con AES-256 y el acceso está controlado por RBAC. Las claves se almacenan en el KMS. Se realizan verificaciones de integridad periódicas y monitoreo constante. Solo el personal autorizado accede.
5. Monitoreo y registros
    Usamos un sistema SIEM con detección de intrusiones, análisis de registros en tiempo real y detección de anomalías con IA. La actividad sospechosa genera alertas automáticas. Los registros se almacenan de forma segura sin incluir PII, que se enmascara o tokeniza. Realizamos auditorías y escaneos periódicos.
6. Plan de respuesta ante incidentes
   Nuestro plan incluye:
   1. Detección y análisis en tiempo real.
   2. Contención inmediata.
   3. Erradicación del origen.
   4. Recuperación desde copias de seguridad.
   5. Notificación a Amazon (security@amazon.com) en 24h.
   6. Revisión post-incidente y mejoras.

7. Gestión de contraseñas
    Aplicamos políticas estrictas: mínimo 12 caracteres con mayúsculas, minúsculas, números y símbolos. Expiran cada 90 días y no pueden reutilizarse durante 5 ciclos. Fallos de login bloquean cuentas. MFA es obligatorio. Se audita periódicamente.
8. Protección de datos en pruebas
    No se usa PII real. Se utilizan datos anonimizados o sintéticos. Cuando se requiere PII, se aplica enmascaramiento y cifrado. Las pruebas están aisladas del entorno de producción y tienen los mismos controles. Los datos se eliminan tras su uso.

9. Seguridad de credenciales
   Protegemos credenciales mediante:
   1. Almacenamiento cifrado con bcrypt.
   2. MFA obligatorio.
   3. Formación continua.
   4. Uso de gestores de contraseñas.
   5. Expiración automática de sesiones.
   6. Whitelisting de IPs.
   7. Auditorías periódicas.

10. Gestión de vulnerabilidades
    Seguimiento mediante sistema centralizado:
    1. Clasificación por severidad.
    2. Corrección: crítica en 7 días, alta en 14, media/baja en 30.
    3. Asignación y seguimiento.
    4. Escalado si no se resuelve.
    5. Verificación posterior.

11. Seguridad en aplicaciones y SDLC
     Durante el desarrollo usamos análisis estático/dinámico y revisiones obligatorias. En ejecución, usamos WAFs y escáneres. Las vulnerabilidades críticas se parchean de inmediato y se verifica su solución.
12. Gestión de cambios
     El Director de IT y DevOps lideran el cambio. El acceso se gestiona por RBAC y el sistema ITSM. Todos los cambios requieren documentación, justificación y aprobación del CAB. Los cambios urgentes siguen un proceso acelerado con auditoría posterior.
13. Revisión y actualización de políticas
     Todas las políticas de seguridad se revisan y actualizan periódicamente para cumplir con requisitos legales y normativos. Los cambios se comunican a los interesados y se aplican mediante configuraciones de sistema y formación actualizada.