Política de Seguridad de la Información
Controles de Seguridad para el Sistema de Facturación Electrónica · Neural Technology Solutions SRL
Propósito y Alcance
La presente Política de Seguridad de la Información establece los lineamientos, controles y responsabilidades que Neural Technology Solutions SRL implementa para garantizar la confidencialidad, integridad y disponibilidad de la información procesada a través del sistema de Facturación Electrónica Neural.
Esta política aplica a:
- Todos los empleados, contratistas y colaboradores de Neural Technology Solutions SRL.
- Los sistemas, aplicaciones y plataformas que integran el servicio Neural de facturación electrónica.
- Los datos fiscales, tributarios y financieros de los clientes procesados mediante el sistema.
- Las integraciones con la Dirección General de Impuestos Internos (DGII) para la validación de comprobantes fiscales electrónicos (e-CF).
- Proveedores y terceros con acceso a datos o infraestructura de la organización.
Objetivo Principal
Garantizar que los comprobantes fiscales electrónicos emitidos a través de Neural cumplan los más altos estándares de autenticidad, integridad y trazabilidad exigidos por la DGII y la Ley 32-23.
Marco Legal y Normativo
Esta política se fundamenta en la normativa nacional e internacional vigente aplicable a la facturación electrónica y la seguridad de la información:
Ley 32-23
Ley de Facturación Electrónica de la República Dominicana. Establece la obligatoriedad de la emisión de comprobantes fiscales electrónicos y los requisitos de seguridad para los proveedores autorizados.
Decreto 587-24
Reglamento de aplicación de la Ley 32-23 que regula los plazos de implementación, los estándares técnicos del e-CF y los controles que deben aplicar los proveedores de facturación electrónica.
Ley 126-02
Ley sobre Comercio Electrónico, Documentos y Firmas Digitales de la República Dominicana. Otorga validez jurídica a los documentos electrónicos y las firmas digitales.
ISO/IEC 27001
Estándar internacional para la gestión de la seguridad de la información. Neural Technology Solutions SRL alinea sus controles con los requisitos de esta norma.
Normativas DGII
Especificaciones técnicas, catálogos y procedimientos emitidos por la Dirección General de Impuestos Internos para la implementación y validación de comprobantes fiscales electrónicos.
Ley 172-13
Ley de Protección de Datos Personales de la República Dominicana. Regula el tratamiento de los datos personales de los contribuyentes y clientes que utilizan el sistema.
Principios de Seguridad
La seguridad de la información en Neural Technology Solutions SRL se rige por los siguientes principios fundamentales:
Confidencialidad
La información fiscal y tributaria de los clientes es accesible únicamente por personas autorizadas. Ningún dato de comprobantes o transacciones se comparte con terceros sin consentimiento expreso o mandato legal.
Integridad
Los comprobantes fiscales electrónicos no pueden ser alterados una vez firmados digitalmente. Se implementan controles técnicos y criptográficos que garantizan que los datos no sean modificados sin detección.
Disponibilidad
El sistema de facturación electrónica debe estar disponible de forma continua. Se garantiza una disponibilidad mínima del 99.5% anual con planes de continuidad ante fallos o desastres.
Autenticidad
Cada comprobante fiscal electrónico es firmado digitalmente con certificados emitidos por entidades autorizadas por INDOTEL, garantizando la identidad del emisor y la validez legal del documento.
Trazabilidad
Todas las operaciones sobre comprobantes fiscales, accesos al sistema y cambios de configuración son registrados en logs de auditoría inalterables, conservados por un mínimo de 10 años.
Mínimo Privilegio
Cada usuario, sistema o proceso accede únicamente a los recursos estrictamente necesarios para cumplir su función. Los permisos son revisados periódicamente y revocados al cesar la necesidad.
Roles y Responsabilidades
La seguridad de la información es una responsabilidad compartida. Los siguientes roles tienen obligaciones específicas:
| Rol | Responsabilidades |
|---|---|
| Dirección General | Aprobar y patrocinar esta política. Asignar los recursos necesarios para su implementación y revisar anualmente su cumplimiento. |
| Responsable de Seguridad (CISO) | Definir y actualizar los controles de seguridad. Gestionar incidentes. Realizar auditorías internas y coordinar con la DGII y organismos reguladores. |
| Equipo de Desarrollo | Implementar prácticas de desarrollo seguro (Secure SDLC). Realizar revisiones de código enfocadas en seguridad. Corregir vulnerabilidades dentro de los plazos establecidos. |
| Equipo de Infraestructura | Administrar servidores y redes de forma segura. Aplicar parches y actualizaciones. Gestionar respaldos y planes de recuperación ante desastres. |
| Clientes / Usuarios | Mantener la confidencialidad de sus credenciales. Notificar cualquier uso no autorizado. Usar el sistema únicamente para los fines permitidos conforme a los Términos de Uso. |
Controles de Acceso
El acceso al sistema Neural y a los datos de facturación electrónica se gestiona mediante controles estrictos para prevenir accesos no autorizados:
- Autenticación multifactor (MFA): Obligatoria para todos los accesos a la plataforma, incluyendo el panel de administración y las APIs de integración.
- Contraseñas seguras: Mínimo 12 caracteres, combinando mayúsculas, minúsculas, números y símbolos. Rotación obligatoria cada 90 días para cuentas administrativas.
- Control de acceso basado en roles (RBAC): Los permisos se asignan según el rol del usuario (Administrador, Emisor, Consulta). No se otorgan permisos superiores a los requeridos.
- Sesiones con tiempo de expiración: Las sesiones inactivas expiran automáticamente tras 30 minutos para evitar accesos no deseados.
- API Keys con alcance limitado: Las claves de API para integraciones de terceros tienen permisos específicos y pueden ser revocadas en tiempo real.
- Acceso de terceros: Los proveedores y socios tecnológicos con acceso a sistemas deben firmar un Acuerdo de Confidencialidad (NDA) y completar un proceso de evaluación de seguridad.
- Revisión periódica: Los privilegios de acceso son revisados trimestralmente. Las cuentas inactivas por más de 60 días son desactivadas automáticamente.
Acceso de Emergencia
Los accesos de emergencia a sistemas de producción requieren aprobación del CISO, son monitoreados en tiempo real y revocados inmediatamente al cesar la necesidad. Todos los accesos de emergencia son auditados y documentados.
Cifrado y Firma Digital
Los comprobantes fiscales electrónicos manejan información tributaria sensible. Neural Technology Solutions SRL implementa estándares criptográficos robustos en cada etapa del proceso:
Firma Digital de e-CF
Cada comprobante fiscal electrónico es firmado con RSA 2048 bits o superior usando certificados X.509 emitidos por entidades de certificación autorizadas por INDOTEL, conforme a la Ley 126-02.
Cifrado en Tránsito
Toda comunicación entre el sistema Neural, los clientes y la DGII utiliza TLS 1.2 o superior. Los protocolos obsoletos (SSL 3.0, TLS 1.0, TLS 1.1) están deshabilitados.
Cifrado en Reposo
Los comprobantes fiscales almacenados en bases de datos y sistemas de respaldo utilizan cifrado AES-256. Las claves de cifrado son gestionadas mediante un sistema de gestión de claves (KMS) dedicado.
Gestión de Claves Criptográficas
Las claves privadas de firma digital se almacenan en módulos de seguridad de hardware (HSM) y nunca son exportadas en texto plano. La rotación de claves se realiza conforme al calendario de expiración de los certificados.
Seguridad de la Infraestructura
La infraestructura que soporta el sistema de facturación electrónica Neural cuenta con múltiples capas de protección:
- Centros de datos certificados: Los servidores se alojan en centros de datos con certificación ISO 27001, SOC 2 Tipo II y controles físicos de acceso estrictos.
- Firewall de aplicaciones web (WAF): Protección contra ataques OWASP Top 10, inyección SQL, XSS y otros vectores de ataque comunes.
- Segmentación de redes: Los entornos de producción, desarrollo y pruebas están completamente aislados. El acceso entre segmentos requiere autorización explícita.
- Detección y prevención de intrusiones (IDS/IPS): Monitoreo continuo del tráfico de red para identificar y bloquear actividades sospechosas.
- Gestión de vulnerabilidades: Escaneos de vulnerabilidades automáticos semanales. Los parches críticos se aplican en un plazo máximo de 72 horas tras su disponibilidad.
- Pruebas de penetración: Evaluaciones de seguridad ofensiva realizadas por terceros independientes al menos una vez al año.
- Monitoreo 24/7: Sistema de alertas y monitoreo continuo con respuesta ante incidentes en horario extendido.
Arquitectura en la Nube
Neural opera en una arquitectura de nube multi-región con redundancia geográfica, garantizando alta disponibilidad y recuperación ante fallos de infraestructura sin pérdida de datos fiscales.
Gestión de Incidentes de Seguridad
Neural Technology Solutions SRL dispone de un Plan de Respuesta a Incidentes que define los procedimientos a seguir ante cualquier evento que comprometa la seguridad de la información:
Detección e Identificación
El sistema de monitoreo genera alertas automáticas. El equipo de seguridad evalúa la naturaleza y gravedad del incidente en los primeros 30 minutos.
Contención
Se implementan medidas inmediatas para limitar el impacto del incidente, incluyendo el aislamiento de sistemas comprometidos y la revocación de accesos afectados.
Notificación
Los clientes afectados son notificados dentro de las 72 horas siguientes a la confirmación del incidente, conforme a lo establecido en la Ley 172-13 de Protección de Datos Personales.
Erradicación y Recuperación
Se eliminan las causas raíz del incidente y se restauran los sistemas al estado operativo normal, verificando la integridad de los datos fiscales.
Lecciones Aprendidas
Se documenta el incidente en detalle, se identifican mejoras y se actualiza el plan de respuesta para prevenir recurrencias.
Para reportar un incidente de seguridad: [email protected]
Continuidad del Negocio y Recuperación
Dado el carácter crítico de la facturación electrónica para las operaciones de los clientes, Neural Technology Solutions SRL mantiene un Plan de Continuidad del Negocio (BCP) y un Plan de Recuperación ante Desastres (DRP):
- Respaldos automáticos: Los datos de facturación se respaldan automáticamente cada hora con retención de 30 días en línea y 10 años en almacenamiento frío cifrado.
- Redundancia geográfica: Los datos se replican en tiempo real a una región secundaria, garantizando continuidad ante fallos de un centro de datos completo.
- Pruebas periódicas: Los planes de continuidad y recuperación se prueban semestralmente para verificar su efectividad y actualizar los procedimientos.
Revisión y Vigencia
La presente Política de Seguridad de la Información es revisada y actualizada conforme a lo siguiente:
- Revisión anual: Esta política se revisa al menos una vez al año por el Responsable de Seguridad (CISO) y aprobada por la Dirección General.
- Revisión extraordinaria: Se actualizará ante cambios significativos en la legislación aplicable, cambios en la infraestructura o incidentes de seguridad relevantes.
- Comunicación: Las actualizaciones a esta política serán notificadas a clientes y usuarios con al menos 15 días de anticipación a su entrada en vigor.
- Historial de versiones: Se mantiene un registro histórico de todas las versiones de esta política con sus fechas de vigencia.