v1.0 security-policy

Anexo de seguridad

Entra en vigor el: 4 de enero de 2026

POLÍTICA DE SEGURIDAD Y CUMPLIMIENTO (SECURITY EXHIBIT)

En Clarisfy, entendemos que al procesar información fiscal y credenciales de acceso (CIEC/e.firma), la confianza es nuestro activo más valioso. Este documento describe la arquitectura de seguridad, los controles y las prácticas que implementamos para proteger los datos de su Organización y sus Entidades bajo un enfoque de “Defensa en Profundidad” (Defense-in-Depth).

1. SEGURIDAD DE INFRAESTRUCTURA (CLOUD SECURITY)

Clarisfy es una plataforma nativa en la nube (Cloud Native). No operamos centros de datos físicos propios.

1.1 Proveedores de Nube

Nuestra infraestructura está alojada principalmente en Amazon Web Services (AWS), proveedores que cuentan con certificaciones de seguridad líderes en la industria, incluyendo ISO 27001, SOC 2 Tipo II y PCI-DSS Nivel 1.

1.2 Seguridad de Red

  • Aislamiento: Utilizamos Virtual Private Clouds (VPC) para aislar nuestros entornos de producción de los entornos de desarrollo y pruebas.
  • Firewalls: Implementamos Web Application Firewalls (WAF) y Grupos de Seguridad estrictos para filtrar tráfico malicioso y ataques comunes (OWASP Top 10).
  • Protección DDoS: Utilizamos servicios de mitigación (como AWS Shield) para proteger la disponibilidad de la API ante ataques de denegación de servicio.

2. CIFRADO Y PROTECCIÓN DE DATOS

Aplicamos criptografía robusta en todo el ciclo de vida del dato.

2.1 Datos en Tránsito

Todas las comunicaciones entre el cliente y Clarisfy (API y Dashboard), así como las comunicaciones internas entre microservicios, están encriptadas utilizando TLS 1.2 o superior (Transport Layer Security), priorizando suites de cifrado fuertes.

  • HSTS (HTTP Strict Transport Security) está habilitado para forzar conexiones seguras.

2.2 Datos en Reposo

  • Base de Datos: Los volúmenes de almacenamiento y bases de datos están cifrados utilizando el estándar AES-256.
  • Gestión de Llaves: Las llaves de cifrado se gestionan a través de un servicio de gestión de claves (KMS) centralizado, con rotación periódica automática.

2.3 Manejo de Credenciales Sensibles (SAT)

Las credenciales CIEC y llaves privadas de la e.firma (.key) NUNCA se almacenan en texto plano.

  • Utilizamos bóvedas de secretos (“Secret Vaults”) con cifrado a nivel de aplicación.
  • Estas credenciales solo se desencriptan efímeramente en la memoria volátil de nuestros servidores seguros al momento exacto de realizar una transacción con el SAT, y se eliminan de la memoria inmediatamente después.

3. SEGURIDAD DE APLICACIÓN Y DESARROLLO

3.1 Ciclo de Desarrollo Seguro (SDLC)

  • Revisión de Código: Todo cambio en el código fuente requiere revisión por pares (Peer Review) y pruebas automatizadas antes de desplegarse a producción.
  • Análisis de Vulnerabilidades: Realizamos escaneos estáticos (SAST) y dinámicos (DAST) de código en nuestros pipelines de CI/CD para detectar vulnerabilidades antes del despliegue.

3.2 Autenticación y Acceso

  • API Security: El acceso a la API se autentica mediante Tokens de larga duración (API Keys) y Tokens de sesión (JWT) firmados criptográficamente.
  • Rate Limiting: Implementamos límites de tasa para prevenir ataques de fuerza bruta y abuso de la API.

4. CONTROL DE ACCESO INTERNO Y PERSONAL

Operamos bajo el principio de “Mínimo Privilegio” (Principle of Least Privilege).

  • Acceso a Datos: El personal de Clarisfy NO tiene acceso a los datos fiscales de los clientes, salvo que sea estrictamente necesario para resolver un ticket de soporte técnico autorizado o por requerimiento legal.
  • Autenticación Interna: Todo acceso administrativo a nuestra infraestructura requiere Autenticación Multifactor (MFA/2FA) y se realiza a través de VPNs o túneles seguros.
  • Confidencialidad: Todos los empleados y contratistas firman acuerdos de confidencialidad (NDA) y reciben capacitación periódica en seguridad de la información.

5. MONITOREO Y RESPUESTA A INCIDENTES

5.1 Monitoreo Continuo

Mantenemos registros de auditoría (Audit Logs) centralizados que rastrean quién accede a qué recurso y cuándo. Estos registros se conservan por un periodo mínimo de 12 meses para análisis forense.

5.2 Notificación de Brechas de Seguridad

En caso de detectar una vulneración de seguridad que comprometa los datos personales o confidenciales de la Organización:

  1. Clarisfy notificará al contacto técnico designado por la Organización sin demora indebida y en un plazo no mayor a 72 horas tras confirmar el incidente.
  2. La notificación incluirá: naturaleza del incidente, datos afectados y medidas correctivas tomadas.

6. CONTINUIDAD DEL NEGOCIO (BCDR)

  • Copias de Seguridad: Realizamos respaldos (Backups) automáticos diarios de las bases de datos, los cuales son cifrados y replicados en múltiples zonas de disponibilidad para garantizar su durabilidad.
  • Recuperación: Contamos con planes de recuperación ante desastres diseñados para restaurar el servicio en caso de fallos catastróficos de la infraestructura.

7. CUMPLIMIENTO NORMATIVO

Nuestras prácticas de seguridad están alineadas con estándares internacionales y regulaciones locales:

  • LFPDPPP: Ley Federal de Protección de Datos Personales (México).
  • ISO/IEC 27001: (Marco de referencia para la gestión de seguridad).
  • Disposiciones CNBV: Alineación con los requisitos de seguridad para instituciones de tecnología financiera en lo referente a autenticación y cifrado.

8. REPORTE DE VULNERABILIDADES (BUG BOUNTY)

Si usted es un investigador de seguridad y ha encontrado una vulnerabilidad en Clarisfy, le pedimos que nos lo notifique de manera responsable a security@clarisfy.com. Nos comprometemos a investigar todos los reportes legítimos y a no emprender acciones legales contra investigadores que actúen de buena fe y no exfiltren datos de terceros.


Nota: Clarisfy se reserva el derecho de actualizar este anexo de seguridad para reflejar mejoras en sus procesos o cambios en la tecnología.