Política de Seguridad
Estándares y controles de seguridad que aplicamos en el desarrollo y operación de sistemas.
Última actualización: 1 de enero de 2025
1Principios de seguridad
- Security by Design: la seguridad se incorpora desde la fase de diseño, no como complemento.
- Mínimo privilegio: cada componente y usuario accede solo a lo estrictamente necesario.
- Defensa en profundidad: múltiples capas de seguridad en todos los sistemas.
- Zero Trust: verificación continua de identidad y autorización en cada transacción.
- Transparencia: comunicación oportuna ante cualquier incidente de seguridad.
2Seguridad en el desarrollo (DevSecOps)
- Análisis estático de código (SAST) en cada pull request.
- Análisis de dependencias y vulnerabilidades conocidas (SCA).
- Pruebas de seguridad automatizadas en pipelines CI/CD.
- Revisión de código por pares con criterios de seguridad.
- Pentesting periódico por equipos internos y terceros especializados.
- Gestión segura de secretos mediante vaults (AWS Secrets Manager, HashiCorp Vault).
3Seguridad de la infraestructura
- Cifrado en tránsito: TLS 1.2+ para todas las comunicaciones.
- Cifrado en reposo: AES-256 para datos almacenados.
- Firewalls y WAF (Web Application Firewall) en todos los entornos productivos.
- Segmentación de red con subredes privadas para bases de datos.
- Monitoreo de amenazas 24/7 con SIEM y alertas automáticas.
- Gestión de parches: aplicación de actualizaciones de seguridad en máximo 72 horas para críticas.
4Control de acceso y autenticación
- Autenticación multifactor (MFA) obligatoria para accesos administrativos.
- Gestión de identidades con roles y permisos granulares (RBAC).
- Rotación periódica de credenciales y llaves de acceso.
- Auditoría completa de accesos y operaciones en sistemas críticos.
- Single Sign-On (SSO) integrado con proveedores de identidad empresariales.
5Gestión de incidentes de seguridad
En caso de detectar un incidente de seguridad que afecte datos personales o sistemas del cliente, VARSAL Systems notificará al cliente en un plazo máximo de 72 horas desde la detección, con información sobre el alcance, los datos afectados, las medidas de contención adoptadas y el plan de remediación.
6Reporte de vulnerabilidades
Si descubre una vulnerabilidad en nuestros sistemas, le agradecemos reportarla de forma responsable a seguridad@varsalsystems.com. No llevaremos a cabo acciones legales contra investigadores que actúen de buena fe y sigan un proceso de divulgación responsable. Respondemos a todos los reportes en un plazo máximo de 5 días hábiles.
Para consultas sobre esta política, contáctenos en legal@varsalsystems.com
