POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN (PSI)
Fecha de Vigencia: 22 de marzo de 2026
Table of contents
- Objetivo y Alcance
- Marco de Control de Acceso
- Seguridad en las Comunicaciones y Criptografía
- Seguridad en el Ciclo de Vida del Desarrollo (DevSecOps)
- Gestión de Vulnerabilidades y Parches
- Seguridad Física y Operativa
- Respuesta ante Incidentes de Seguridad
- Concientización y Capacitación
- Contacto de Seguridad
Objetivo y Alcance
El objetivo de esta política es establecer el marco de control para proteger la confidencialidad, integridad y disponibilidad de los activos de información de Zosious Global y de sus Clientes. Esta política es de cumplimiento obligatorio para todos los empleados, contratistas, consultores y terceros que tengan acceso a los sistemas y datos gestionados a través de zosiousapi.com.
Marco de Control de Acceso
Zosious aplica el principio de “Menor Privilegio” (Least Privilege), asegurando que los usuarios solo tengan acceso a la información estrictamente necesaria para sus funciones. Identificación Única: Todo acceso a la plataforma debe realizarse mediante cuentas individuales. Queda prohibido el uso de cuentas compartidas. Autenticación de Múltiple Factor (MFA): El acceso a entornos de producción, bases de datos y herramientas administrativas requiere obligatoriamente MFA. Gestión de Contraseñas: Se exigen contraseñas de alta complejidad (mínimo 12 caracteres, alfanuméricos y símbolos) con rotación obligatoria en caso de sospecha de compromiso. Revocación Inmediata: El acceso de cualquier colaborador será revocado en un plazo máximo de 2 horas tras el cese de su relación laboral o contractual.
Seguridad en las Comunicaciones y Criptografía
Para proteger los datos en tránsito y en reposo, Zosious Global implementa los siguientes controles: Cifrado en Tránsito: Todas las conexiones hacia zosiousapi.com están protegidas mediante protocolos TLS 1.3 (o superiores) con certificados SSL de validación extendida. Cifrado en Reposo: Los datos sensibles (financieros, fiscales y personales) se almacenan cifrados mediante el estándar AES-256. Gestión de Llaves: Las llaves criptográficas se gestionan mediante servicios de administración de claves (KMS) aislados del código fuente.
Seguridad en el Ciclo de Vida del Desarrollo (DevSecOps)
El desarrollo de la plataforma sigue prácticas de seguridad desde el diseño: Análisis de Código: Realizamos análisis estáticos (SAST) y dinámicos (DAST) para identificar vulnerabilidades (OWASP Top 10) antes de cada despliegue. Ambientes Aislados: Los entornos de Desarrollo, Testing y Producción están lógicamente separados. Nunca se utilizarán datos reales de clientes en entornos de prueba. Seguridad de API: Todas las solicitudes a zosiousapi.com requieren tokens de autenticación (OAuth2 / JWT) y están sujetas a límites de tasa (rate limiting) para prevenir ataques de denegación de servicio (DoS).
Gestión de Vulnerabilidades y Parches
Escaneos Periódicos: Se realizan escaneos de vulnerabilidades en la infraestructura de forma mensual. Actualizaciones: Los parches de seguridad críticos se aplican en un plazo no mayor a 48 horas tras su liberación por el proveedor. Pruebas de Penetración: Anualmente, una firma externa independiente realizará un Pentest a la infraestructura de Zosious Global.
Seguridad Física y Operativa
Nuestra infraestructura reside en centros de datos de clase mundial (Tier IV) que cumplen con certificaciones SOC 2 Type II e ISO 27001. Redundancia: Los datos se replican en tiempo real en zonas de disponibilidad distintas para garantizar la continuidad del negocio. Monitoreo 24/7: Contamos con sistemas de detección de intrusos (IDS) y prevención de intrusos (IPS) que alertan sobre actividades anómalas en tiempo real.
Respuesta ante Incidentes de Seguridad
En caso de una brecha de seguridad confirmada: Contención: Aislamiento inmediato de los sistemas afectados. Investigación: Análisis forense para determinar el alcance del incidente. Notificación: Zosious notificará a los usuarios afectados y a las autoridades competentes en un plazo máximo de 72 horas tras el hallazgo, cumpliendo con el GDPR y las leyes locales.
Concientización y Capacitación
Todo el personal de Zosious Global debe completar una capacitación anual en seguridad de la información y phishing. La violación de estas políticas será motivo de medidas disciplinarias, incluyendo la terminación del contrato y acciones legales.
Contacto de Seguridad
Para reportar vulnerabilidades o incidentes de ciberseguridad: Equipo de Respuesta a Incidentes (SIRT) Correo electrónico: security@zosiousapi.com Portal de Reportes: security.zosiousapi.com