Política de Seguridad de la Información

Última actualización: 30 de octubre de 2025

1. Alcance y propósito

Esta Política define los principios y medidas que Grai Analytics aplica para proteger la confidencialidad, integridad y disponibilidad de la información propia y de clientes, incluyendo datos personales y corporativos tratados en el marco de nuestros servicios.

2. Principios

  • Necesidad y minimización de datos: sólo recolectamos y tratamos lo necesario.
  • Defensa en profundidad: controles técnicos y organizativos en varias capas.
  • Mejora continua: revisión y actualización periódica de controles.
  • Privacidad por diseño y por defecto: consideraciones de privacidad desde el inicio.

3. Roles y responsabilidades

  • Dirección: aprueba la política y asigna recursos.
  • Liderazgo técnico: implementa y supervisa controles de seguridad.
  • Equipo: cumple políticas internas, reporta incidentes y participa en capacitaciones.

4. Gestión de accesos

  • Principio de menor privilegio y separación de funciones.
  • Autenticación robusta (MFA donde sea posible).
  • Ciclos de alta, baja y modificación de accesos con revisiones periódicas.
  • Revocación inmediata ante desvinculaciones o cambios de rol.

5. Protección de datos y cifrado

  • Cifrado en tránsito (TLS/HTTPS) y, cuando corresponda, en reposo.
  • Gestión segura de claves y secretos (almacenamiento en servicios de secretos, rotación periódica).
  • Mascarado o anonimización cuando aplique.

6. Desarrollo seguro y cambios

  • Prácticas de SDLC seguro: revisión de código, control de versiones y pruebas automatizadas.
  • Gestión de cambios con revisión técnica y entorno de staging cuando aplique.
  • Dependencias monitoreadas para vulnerabilidades.

7. Registro y monitoreo

  • Logs de eventos relevantes (accesos, cambios críticos, errores).
  • Monitoreo de disponibilidad y alertas.
  • Conservación de registros por períodos definidos para análisis e investigación.

8. Respaldo y continuidad

  • Backups periódicos de información crítica y pruebas de restauración.
  • Planes de recuperación ante desastres acordes al nivel de riesgo.
  • Redundancia en infraestructura según la criticidad del servicio.

9. Gestión de vulnerabilidades e incidentes

  • Parcheo regular de sistemas y dependencias.
  • Canal para reporte de vulnerabilidades: contacto@graianalytics.com.
  • Proceso de respuesta a incidentes: detección, contención, análisis, remediación, notificación y lecciones aprendidas.

10. Proveedores y subencargados

  • Evaluación de proveedores críticos (infraestructura, almacenamiento, correo, analítica).
  • Cláusulas contractuales de confidencialidad y seguridad.
  • Revisiones periódicas y controles acordes al riesgo.

11. Seguridad física y de infraestructura

  • Uso de proveedores cloud con certificaciones reconocidas (p. ej., ISO 27001).
  • Controles de red (segmentación, firewalls gestionados) y hardening de servicios.

12. Clasificación y manejo de la información

  • Clasificación (p. ej., Pública / Interna / Confidencial / Restringida).
  • Reglas de almacenamiento, uso, transmisión y eliminación segura por clasificación.
  • Acuerdos de confidencialidad (NDA) cuando aplique.

13. Cumplimiento y formación

  • Capacitación periódica en seguridad y privacidad.
  • Cumplimiento de normativa aplicable (incluida Ley 19.628 y otras según industria o cliente).
  • Auditorías y revisiones internas.

14. Revisión de la política

Esta Política se revisa al menos anualmente o ante cambios relevantes en riesgos, procesos o normativa. La versión vigente se publica en esta página con su fecha de actualización.

Contacto de seguridad: contacto@graianalytics.com