POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN (PSI)

1. Propósito

Proteger la confidencialidad, integridad y disponibilidad de la información y de los activos que la procesan, almacenan o transmiten, alineando controles con los objetivos del negocio, las obligaciones legales y las mejores prácticas (ISO/IEC 27001/27002, NIST CSF).

2. Alcance

Esta política aplica a: empleados, contratistas, proveedores y terceros que accedan a información de SUDATA SAS; a todos los activos informacionales (datos, aplicaciones, infraestructura on‑premises y nube), incluyendo entornos de analítica/BI (p. ej., Microsoft Fabric/Power BI), integraciones (APIs con organismos como AFIP/ARCA/RENAPER bajo convenio) y sistemas de clientes cuando exista acceso delegado.

3. Principios

• Necesidad de conocer & mínimo privilegio para el acceso a la información.
• Privacy by design y security by design en todo el ciclo de vida.
• Defensa en profundidad y gestión de riesgos continua.
• Cumplimiento legal (Ley 25.326, AAIP, contratos y convenios vigentes) y de estándares aplicables.

4. Marco normativo y referencias

• ISO/IEC 27001:2022 y 27002:2022
• NIST Cybersecurity Framework (Identify–Protect–Detect–Respond–Recover)
• Ley 25.326 de Protección de Datos Personales (AR) y normas AAIP
• Contratos y Términos de Uso de servicios de terceros (p. ej., RENAPER SID, AFIP/ARCA WSAA, proveedores cloud)
• Requisitos sectoriales/regulatorios aplicables

5. Gobierno, roles y responsabilidades

• Comité de Seguridad / Dirección: aprueba políticas, asigna presupuesto y riesgo aceptable.
• Responsable de Seguridad: custodio de la PSI; define controles, lidera gestión de incidentes y auditorías.
• Propietarios de Activos: clasifican datos, aprueban accesos, definen RPO/RTO.
• Usuarios: cumplen políticas y reportan incidentes.
• Proveedores/Terceros: cumplen obligaciones contractuales y controles equivalentes.

6. Gestión de activos y clasificación de la información

• Inventario actualizado de activos (hardware, software, datos, integraciones, cuentas de servicio, gateways).
• Clasificación (ejemplo): Pública, Interna, Confidencial, Restringida (Datos personales/secretos comerciales).
• Etiquetado y manejo según clase (cifrado, control de copias, transporte, destrucción segura).

7. Control de acceso e identidad

• IAM centralizada y MFA obligatorio para todo acceso remoto/cloud/privilegiado.
• Políticas de contraseñas: longitud ≥ 12, gestor de contraseñas corporativo, rotación de credenciales de servicio mediante Secret Vault.
• RBAC en plataformas (p. ej., Power BI/Fabric): uso de grupos, prohibido compartir por enlace público, revisión trimestral de permisos.
• RLS/OLS (seguridad a nivel de filas/objetos) en modelos semánticos donde aplique.

8. Seguridad en plataformas de datos y BI

• Tenant settings: deshabilitar publicación pública, restringir exportaciones, exigir autenticación fuerte.
• Dataflows/ETL: repositorio de código (Git), pipelines con CI/CD y validaciones.
• Gateways: servidores endurecidos, cuentas de servicio sin privilegios locales, registros centralizados.
• Etiquetas de sensibilidad y políticas DLP para archivos y datasets.
• Datos regulatorios (AFIP/ARCA/RENAPER): acceso sólo bajo base legal y convenios; segregación de entornos; retención mínima.

9. Seguridad de aplicaciones y APIs

• SDLC seguro: análisis SAST/DAST, revisión de dependencias, gestión de secretos fuera del código.
• APIs: autenticación robusta (OAuth2/OpenID/WSAA según caso), scopes mínimos, rate‑limit, registro y firma de eventos.
• Datos personales: minimización, seudonimización cuando sea posible, cifrado en tránsito y reposo.

10. Infraestructura, red y endpoints

• Segmentación de red, VPN para acceso remoto, bloqueo de puertos innecesarios.
• Endpoints administrados con EDR/antimalware, parcheo mensual (críticos ≤ 7 días).
• Configuración segura de correo (SPF, DKIM, DMARC) y bloqueo de adjuntos/rastreo malicioso.

11. Cifrado y gestión de claves

• En tránsito: TLS 1.2+ obligatorio.
• En reposo: cifrado AES‑256 o equivalente en bases, data lakes y backups.
• KMS/HSM: custodia y rotación de claves; separación de funciones.

12. Copias de seguridad, continuidad y recuperación

• Backups automáticos verificados (pruebas de restore trimestrales).
• Objetivos: RPO y RTO por servicio.
• Plan de Continuidad (BCP) y DRP: sitios alternativos / zonas de disponibilidad.

13. Registro, monitoreo y detección

• Centralización de logs (SIEM). Retención mínima para auditoría e investigación.
• Alertas para accesos anómalos, escaladas de privilegios, exfiltración (DLP) y fallas de gateway/ETL.

14. Gestión de vulnerabilidades y cambios

• Escaneos mensuales y ante cambios mayores; remediación basada en severidad (CVSS).
• CAB (Change Advisory Board) para cambios de alto impacto; registro y backout plan.

15. Terceros y proveedores

• Due diligence de seguridad, cláusulas contractuales (confidencialidad, subprocesadores, brechas, ubicación de datos), derecho de auditoría.
• Homologación de SLA, RPO/RTO y planes de continuidad.

16. Privacidad y datos personales

• Base legal documentada por tratamiento.
• Consentimiento claro cuando aplique; atención a datos sensibles.
• Política de derechos ARCO y canal de solicitudes.
• Evaluación de Impacto (DPIA) para tratamientos de alto riesgo (biometría, geolocalización, padrones estatales, etc.).

17. Teletrabajo, BYOD y uso aceptable

• Teletrabajo permitido.
• Acceso a recursos internos mediante canales cifrados; VPN requerida para redes privadas y administración de gateways.
• Descargas y exportaciones: sin restricciones específicas por política; los usuarios deben respetar la clasificación de la información y las obligaciones contractuales/legales al compartir o exportar datos.
• Dispositivos personales permitidos (BYOD) con requisitos mínimos: bloqueo de pantalla, cifrado de disco y sistema operativo actualizado.

18. Capacitación y concientización

Inducción obligatoria y refrescos semestrales (phishing, manejo de datos, clasificación, incidentes).

19. Gestión de incidentes

CSIRT de Sudata:

• Líder: Responsable de Seguridad de la Información (RSI).
• Coordinación ejecutiva: Juan Martín Fernández – CEO.
• Tecnología/I+D: Alejandro San José – Gerente de I+D.
• Owner de datos/negocio según servicio afectado.
• Comunicaciones/Legal cuando corresponda.

Etapas: detección, análisis, contención, erradicación, recuperación y post‑mortem.

SLA de notificación: a clientes y/o autoridad competente dentro de 72 horas cuando aplique por normativa o contrato.

Canales de reporte interno: [email protected] y mesa de ayuda.

20. Cumplimiento, auditoría y sanciones

• Auditorías internas anuales y externas según requiera el negocio.
• Incumplimientos sujetos a medidas disciplisarias y/o contractuales.

21. Revisión y mejora continua

Revisión de la PSI al menos anual o ante cambios significativos en riesgos/negocio.

KPIs básicos de seguridad:

• % de cuentas con MFA habilitado
• MTTR (tiempo medio de resolución) de incidentes
• % de parches críticos en término

A1. Estándares técnicos mínimos

• MFA obligatorio; contraseñas ≥ 12 caracteres (o passphrases) y gestor corporativo.
• TLS 1.2+; cifrado reposo AES‑256; HSM/KMS con rotación anual o ante incidentes.
• Parches críticos ≤ 7 días, altos ≤ 15 días, medios ≤ 30 días.
• Backups: diarios (datos críticos), retención ≥ 30 días; pruebas de restore trimestrales.
• Logs centralizados; retención ≥ 6–12 meses; time‑sync (NTP) corporativo.

A2. Controles específicos de Analítica/BI

Power BI/Fabric:

• Workspaces Premium/dedicados según criticidad.
• Deployment pipelines (DEV/TEST/PROD) y revisión de cambios.
• RLS/OLS documentado; sensitivity labels; export/re-share restringido por tenant settings.
• Gateways endurecidos; cuentas de servicio sin login interactivo; monitoreo de latidos.
• Catálogo de datos, ownership y SPOC por dataset; certificados/endorsed datasets.