MéTRIKValida
Recursos

Política de Seguridad · v1.0

Política de Seguridad de la Información

Marco de controles técnicos, administrativos y físicos que MeTRIK SAS aplica para proteger la confidencialidad, integridad y disponibilidad de la información que opera el Servicio MéTRIK Valida y demás productos.

Vigente desde: 15 de mayo de 2026

Descargar PDF

1. Objetivo y alcance

MeTRIK SAS adopta esta Política de Seguridad de la Información para garantizar la confidencialidad, integridad y disponibilidad de los datos, sistemas e infraestructura tecnológica que opera el Servicio MéTRIK Valida y demás productos de la sociedad.

Aplica a:

  • Personal interno y colaboradores externos
  • Infraestructura tecnológica propia y de terceros (Vercel, Supabase, proveedores conexos)
  • Bases de datos, código fuente, documentación, credenciales y artefactos del Servicio
  • Información de Clientes y Titulares cuyos datos son tratados

2. Principios rectores

  • Confidencialidad: La información solo es accesible para quien debe acceder a ella, en función de su rol y necesidad operativa.
  • Integridad: La información es exacta, completa y no se altera sin trazabilidad.
  • Disponibilidad: La información y los servicios están disponibles cuando son requeridos legítimamente.
  • Defensa en profundidad: Múltiples capas de control reducen la probabilidad de que un único fallo comprometa el sistema.
  • Mínimo privilegio: Todo acceso es el menor que permita cumplir la función. Se revisa periódicamente.
  • Auditabilidad: Toda acción crítica deja registro inmutable y revisable.
  • Mejora continua: La política y los controles se revisan periódicamente conforme cambian el riesgo, la normativa y las tecnologías.

3. Gobierno y responsabilidades

Representante LegalResponde como administrador (Ley 222/1995 Art. 23) por la adopción y vigencia de esta Política.
Tech Lead / equipo de ingenieríaDiseña e implementa los controles técnicos. Mantiene la postura de seguridad de la infraestructura.
Encargado de protección de datosPunto único de contacto para asuntos de habeas data y compliance Ley 1581/2012.
Personal y colaboradoresAplican esta Política. Reportan incidentes detectados. Cumplen acuerdos de confidencialidad.
Proveedores y tercerosCumplen las cláusulas contractuales de seguridad y confidencialidad pactadas.

4. Clasificación de la información

PúblicaInformación destinada al público general: marketing, documentación del Servicio, listas oficiales scrapeadas (que son originalmente públicas).
InternaInformación operativa de MeTRIK SAS no destinada a publicación: configuraciones, métricas, dashboards internos.
ConfidencialInformación de Clientes y Titulares: consultas, datos personales, bitácoras, credenciales del cliente.
RestringidaSecretos: claves de cifrado, llaves de servicio (service role keys), credenciales raíz, código fuente sensible.

4.1. Disponibilidad para autoridades competentes

Toda información clasificada como Confidencial o Restringida, cuando esté vinculada a operaciones SARLAFT del Cliente, se mantiene disponible para ser puesta a disposición de la autoridad competente (UIAF, SFC, Supersociedades, Supertransporte u otra) mediante procedimiento legalmente válido y dentro de los plazos que la autoridad determine. La entrega de información a autoridad sigue el conducto previsto en la Política de Tratamiento de Datos Personales y se documenta en bitácora interna.

5. Controles técnicos

  • Cifrado en tránsito: TLS 1.2 o superior en todas las comunicaciones externas. HTTPS obligatorio en todos los endpoints.
  • Cifrado en reposo: Bases de datos cifradas en reposo por el proveedor de infraestructura (AES-256). Backups cifrados con la misma política.
  • Autenticación API: API keys con hash SHA-256 en base de datos. La clave en texto plano se entrega una sola vez al cliente y no es recuperable.
  • Rotación de credenciales: Las claves de servicio se rotan ante eventos de seguridad. Las credenciales de cliente se rotan a solicitud del cliente.
  • Logs auditables: Cada consulta, ingesta, modificación de configuración y acceso administrativo se registra con timestamp, identidad y resultado. Logs inmutables durante el período de retención.
  • Segregación de ambientes: Producción, staging y desarrollo separados. Sin datos reales en ambientes inferiores.
  • Hash de integridad de reportes: Cada reporte PDF de Valida lleva hash SHA-256 verificable contra el contenido original.
  • Hash de integridad de listas: Cada versión de lista oficial scrapeada se almacena con hash SHA-256. Cambio detectado dispara nueva versión.
  • Backups: Backups automáticos diarios de la base de datos. Retención conforme a obligaciones legales.
  • Monitoreo continuo: Métricas operativas en tiempo real. Alertas automáticas ante caídas, errores anormales o intentos de acceso no autorizado.

6. Gestión de accesos

  • Cuentas individuales: Todo acceso a la infraestructura es nominal. Sin cuentas compartidas.
  • MFA obligatorio: Autenticación de doble factor obligatoria para todos los miembros del equipo en los sistemas administrativos.
  • Revocación inmediata: Al término del vínculo laboral o contractual, los accesos se revocan dentro de las 24 horas siguientes.
  • Revisión periódica de privilegios: Auditoría de privilegios al menos semestral, o ante cambios significativos de rol.
  • Principio de mínimo privilegio: Los accesos se otorgan estrictamente para la función requerida. Se eliminan tan pronto la función termina.

7. Proveedores y terceros

MeTRIK SAS solo contrata proveedores de infraestructura con certificaciones de seguridad razonables (SOC 2 Type II, ISO 27001 o equivalentes). Los proveedores actuales relevantes incluyen:

Vercel Inc.Hosting y entrega del Servicio. Certificación SOC 2 Type II.
Supabase Inc.Base de datos PostgreSQL gestionada. Certificación SOC 2 Type II + HIPAA-ready.
Proveedores de listas oficialesONU, OFAC, SIGEP, Consejo de la UE, INTERPOL. Acceso a fuentes públicas oficiales.

Toda contratación de proveedor adicional con acceso a datos confidenciales o restringidos requiere evaluación previa de seguridad y suscripción de cláusulas contractuales de confidencialidad y protección de datos.

8. Gestión de incidentes de seguridad

  1. 8.1.Toda persona vinculada a MeTRIK SAS está obligada a reportar de manera inmediata cualquier sospecha o evidencia de incidente de seguridad.
  2. 8.2.El equipo técnico contiene el incidente, identifica la causa raíz, evalúa el alcance y aplica medidas de mitigación.
  3. 8.3.Si el incidente implica afectación a datos personales, se cumple el procedimiento de notificación de brechas previsto en la Política de Tratamiento de Datos Personales (incluye notificación a la SIC en los términos legales).
  4. 8.4.Si el incidente afecta el Servicio del Cliente, se aplica el procedimiento de notificación del ANS.
  5. 8.5.Cada incidente queda documentado en bitácora interna con análisis de causa raíz y medidas para evitar reincidencia.

9. Continuidad del negocio

  • Backups automáticos diarios: Recuperación de punto en el tiempo (PITR) habilitada en la base de datos.
  • Infraestructura distribuida: El Servicio opera sobre infraestructura serverless con redundancia geográfica del proveedor (multi-región).
  • Plan de recuperación: Procedimiento documentado de restauración de servicio ante caída de proveedor crítico.
  • Multi-proveedor (LLMs): Cuando aplique uso de LLMs, MeTRIK mantiene plan B documentado para continuidad con proveedor alterno.

10. Cumplimiento y auditoría

  • Ley 1581/2012 + Decreto 1377/2013: Protección de datos personales. Política específica publicada en /recursos/privacidad.
  • Ley 1480/2011: Operación B2B estricta con sujetos obligados — no consumidores.
  • Ley 1581 Art. 26: Transferencias internacionales fundadas en cumplimiento de obligación legal del Cliente.
  • Marco SARLAFT colombiano: Circular Básica Jurídica SFC, Circular 100-000016/2020 Supersociedades, Resolución 2328/2025 Supertransporte.
  • Revisión periódica: Esta Política se revisa al menos anualmente, o ante cambios significativos de la operación, normativa, infraestructura o incidentes que justifiquen actualización.

Esta Política es un instrumento de gobierno interno. No constituye certificación de seguridad bajo norma internacional, sino el compromiso operativo de MeTRIK SAS de aplicar prácticas razonables conforme al estado del arte. La obtención de certificaciones formales (ISO 27001, SOC 2) se incorpora al roadmap de MeTRIK SAS según la escala del Servicio.

Versión 1.0 · vigente desde 15 de mayo de 2026.