Centinela365
Ingresar

Centinela365

Política de Seguridad de la Información

Versión
1.0
Vigencia
1 de diciembre de 2026
Última actualización
13 de junio de 2026

Establece los principios, controles y responsabilidades para proteger la confidencialidad, integridad, disponibilidad y trazabilidad de la información en Centinela365.

1. Objetivo

Esta política define el marco de seguridad de CENTINELA SpA para la plataforma Centinela365, alineado con la Ley N° 21.719, principio de seguridad del Art. 3° letra f), y buenas prácticas ISO/IEC 27001.

2. Alcance

  • Empleados, colaboradores y contratistas de Centinela con acceso a sistemas o información.
  • Proveedores y subprocesadores autorizados bajo acuerdos de confidencialidad y tratamiento.
  • Infraestructura cloud, aplicaciones (web, API, worker RPA), bases de datos, colas y almacenamiento.
  • Información de clientes, usuarios, credenciales, snapshots tributarios y registros de auditoría.

3. Principios de seguridad

  • Confidencialidad: acceso solo a personas y procesos autorizados, bajo necesidad de conocer.
  • Integridad: prevención de alteraciones no autorizadas; trazabilidad de cambios relevantes.
  • Disponibilidad: continuidad operacional conforme a SLA publicados.
  • Trazabilidad: registro de accesos sensibles, operaciones RPA y eventos de seguridad.
  • Mínimo privilegio y segregación de funciones en accesos administrativos.

4. Clasificación de la información

La información Restringida exige cifrado en reposo, acceso restringido, registro de auditoría y prohibición de almacenamiento en entornos no autorizados.

  • Pública: material comercial e información destinada al público general.
  • Interna: documentación operativa sin datos personales sensibles.
  • Confidencial: datos empresariales de clientes, reportes y analítica.
  • Restringida: credenciales SII/portales, tokens OAuth, claves criptográficas, secretos de API y datos personales sensibles.

5. Controles de seguridad técnicos

  • Cifrado AES-GCM (o superior) para credenciales y secretos; TLS 1.2+ en tránsito.
  • Autenticación con contraseñas robustas (Argon2), rotación de tokens JWT y detección de reuse.
  • RBAC multi-tenant con roles (contador, administrador, auditor, etc.) y acceso granular por empresa.
  • MFA obligatorio para cuentas SUPER_ADMIN y accesos privilegiados a producción.
  • Segmentación lógica por tenant; Row-Level Security en base de datos cuando aplique.
  • Rate limiting, headers de seguridad HTTP y protección CSRF en flujos web.
  • Escaneo de dependencias, revisión de código y despliegues controlados.
  • Monitoreo de logs, alertas operativas y revisión periódica de accesos.

6. Gestión de accesos

  • Altas, modificaciones y bajas de accesos documentadas; revisión trimestral de permisos.
  • Prohibición de compartir credenciales personales; uso de cuentas individuales trazables.
  • Accesos de soporte bajo procedimiento de break-glass con registro y time-bound.
  • Revocación inmediata de accesos ante término de relación laboral o contrato.

7. Desarrollo seguro

  • Control de versiones, revisiones por pares y pruebas antes de producción.
  • Separación de entornos (desarrollo, staging, producción) y secretos gestionados fuera del código.
  • Principio de no registrar credenciales ni datos sensibles en logs de aplicación.
  • Scripts RPA con capturas de depuración limitadas y retención acotada.

8. Respaldo y recuperación

  • Respaldos automáticos de base de datos con retención definida.
  • Objetivo de recuperación (RPO): hasta 24 horas para datos transaccionales críticos.
  • Objetivo de tiempo de recuperación (RTO): hasta 4 horas para servicios core en incidentes mayores.
  • Pruebas de restauración al menos una vez al semestre.

9. Gestión de incidentes de seguridad

Todo incidente confirmado o sospechado debe reportarse a seguridad@centinela365.cl de inmediato.

El procedimiento incluye: contención, erradicación, recuperación, análisis de causa raíz y notificación a clientes/autoridades cuando la Ley 21.719 lo exija.

Se mantendrá un registro interno de incidentes con severidad, timeline y acciones correctivas.

10. Seguridad en la cadena de suministro

Los proveedores con acceso a datos personales deben cumplir cláusulas de tratamiento, confidencialidad y notificación de incidentes. La lista de subprocesadores se publica en /legal/subprocesadores.

11. Cumplimiento y sanciones internas

El incumplimiento de esta política puede dar lugar a medidas disciplinarias, terminación de contratos con proveedores o acciones legales según corresponda.

Revisión de esta política: al menos anual o ante cambios materiales en el servicio.