Política de seguridad de la información – Trakto
1. Introducción
La misión de Trakto es proporcionar soluciones tecnológicas seguras, modernas y de alta calidad. Reconocemos que la información es uno de nuestros activos más valiosos, por lo que adoptamos controles, procesos y prácticas alineadas con los mejores estándares internacionales de seguridad.
Nuestra Política de Seguridad de la Información (PSI) refleja nuestro compromiso con la protección de datos, la privacidad, la transparencia y la continuidad del negocio.
2. Propósito
Esta política tiene como objetivos:
- Definir principios y directrices de seguridad de la información aplicables a toda la empresa.
- Demostrar al mercado nuestro compromiso con la protección de datos y las prácticas seguras.
- Establecer responsabilidades y buenas prácticas para empleados, socios y terceros.
- Garantizar el cumplimiento de la Ley General de Protección de Datos (LGPD) y otras normativas aplicables.
- Fortalecer la seguridad de nuestros productos, APIs, sistemas internos e infraestructura.
3. Alcance
Esta política se aplica a:
- Todos los empleados, socios, proveedores y terceros autorizados.
- Todas las plataformas, sistemas, APIs y procesos operados por la empresa.
- Información y datos producidos o procesados en el contexto de nuestros servicios.
- Entornos internos, entornos en la nube, dispositivos corporativos y activos tecnológicos.
4. Principios de Seguridad de la Información
Adoptamos prácticas basadas en los pilares clásicos de la seguridad de la información:
4.1 Confidencialidad
La información solo es accesible para personas autorizadas.
4.2 Integridad
La información se mantiene precisa, completa y no se altera de manera indebida.
4.3 Disponibilidad
La información y los servicios deben estar disponibles siempre que se requiera.
4.4 Legalidad
Cumplimos con todas las leyes y regulaciones aplicables, incluida la LGPD.
4.5 Transparencia
Mantenemos canales de comunicación claros sobre el uso y la protección de los datos.
5. Infraestructura Certificada y Confiable
Para garantizar seguridad, rendimiento y confiabilidad, todos los servicios de Trakto operan sobre la infraestructura de Google Cloud Platform (GCP) y utilizan Google Workspace para la comunicación y gestión interna.
Estas plataformas cuentan con certificaciones internacionales de seguridad y privacidad ampliamente reconocidas en el mercado.
✔ Certificaciones de Google Cloud Platform
ISO/IEC 27001 — Gestión de la Seguridad de la Información
ISO/IEC 27017 — Seguridad para Servicios en la Nube
ISO/IEC 27018 — Protección de Datos Personales en la Nube
SOC 1, SOC 2 y SOC 3
PCI DSS (para servicios elegibles)
FedRAMP (componentes aplicables)
✔ Certificaciones de Google Workspace
ISO/IEC 27001
ISO/IEC 27018
SOC 2 Tipo II
Controles avanzados de cifrado, auditoría y DLP
Cumplimiento con los requisitos de la LGPD
Declaración Importante
Las certificaciones mencionadas pertenecen a las plataformas Google Cloud y Google Workspace.
Trakto opera sus servicios en estas plataformas, asegurando que los datos se transmitan y almacenen en entornos que cumplen con estándares internacionales de seguridad.
6. Directrices Generales de Seguridad
6.1 Cultura de Seguridad
Promovemos capacitación continua e iniciativas de concienciación en seguridad y privacidad.
6.2 Gestión de Accesos
- El acceso se concede según la necesidad y el rol (principio de menor privilegio).
- Autenticación fuerte (MFA) para sistemas críticos y administrativos.
- Revisiones periódicas de los permisos de acceso.
6.3 Protección de Datos
- Los datos están encriptados en reposo y en tránsito.
- Controles de etiquetado y clasificación según la sensibilidad de los datos.
- Monitoreo continuo de registros y actividades relevantes.
6.4 Desarrollo Seguro
Adoptamos prácticas del Ciclo de Vida de Desarrollo Seguro de Software (SSDLC):
- Análisis de vulnerabilidades.
- Pruebas de seguridad.Revisiones de código.
- Pruebas de penetración (pentests) en APIs y sistemas.
6.5 Continuidad del Negocio
Mantenemos planes de recuperación y contingencia, asegurando la operación incluso en eventos adversos.
7. Uso de Sistemas y Recursos Tecnológicos
El uso de los recursos internos (Google Workspace, sistemas internos, herramientas de trabajo e infraestructura en la nube) sigue normas como:
- Acceso remoto seguro (VPN, MFA).Uso aceptable de dispositivos y activos corporativos.
- Prohibición de uso indebido, almacenamiento de contenido ilegal o infracción de derechos de autor.
- Notificación inmediata en caso de pérdida de dispositivo, incidente o acceso sospechoso.
8. Privacidad y Protección de Datos (LGPD)
8.1 Base Legal
Todos los datos personales se procesan de acuerdo con las bases legales establecidas por la LGPD.
8.2 Principios
Seguimos los principios de:
- Finalidad
- Necesidad
- Adecuación
- Transparencia
- Seguridad
- Prevención
8.3 Derechos de los Titulares
Los titulares de los datos pueden solicitar:
- Confirmación del tratamiento
- Acceso
- Corrección
- Anonimización
- Portabilidad
- Revocación del consentimiento
Las solicitudes deben enviarse al DPO (información de contacto al final de este documento).
9. Gestión de Incidentes de Seguridad
Mantenemos procedimientos formales para:
- Identificación y registro de incidentes
- Contención
- Análisis y tratamiento
- Comunicación adecuada, incluyendo a las autoridades reguladoras cuando sea aplicable
Los incidentes que involucren datos personales se gestionan de acuerdo con la LGPD.
10. Non-Retaliation Policy
Any employee, client, or partner can report concerns, violations, suspicious behavior, or incidents without risk of retaliation.
We maintain secure and confidential reporting channels.
11. Responsabilidades
11.1 Responsabilidades de la Empresa
- Proteger los activos de información.
- Implementar controles técnicos y administrativos.
- Gestionar incidentes y riesgos de manera transparente.
11.2 Responsabilidades de los Empleados
- Cumplir con esta política y con otras normativas internas.
- Mantener la confidencialidad de la información sensible.
- Reportar de inmediato cualquier incidente o sospecha.
11.3 Responsabilidades de Terceros
- Respetar los contratos y las obligaciones de seguridad.
- Adoptar estándares equivalentes a los exigidos por la empresa.
12. Revisiones y Actualizaciones de la Política
Esta política se revisa al menos una vez al año, o siempre que haya cambios significativos en el entorno tecnológico, regulatorio u operativo.
13. Contacto del Responsable de Protección de Datos (DPO)
Para consultas, solicitudes de los titulares de datos o asuntos relacionados con la privacidad:
Correo electrónico: dpo@trakto.io
Canal de Seguridad: security@trakto.io
14. Glosario
Datos personales: información relacionada con una persona natural identificada o identificable.
Tratamiento: cualquier operación que involucre datos personales.
Incidente de seguridad: evento que compromete la confidencialidad, integridad o disponibilidad.
Cifrado: técnica que impide el acceso no autorizado a la información.
LGPD: Ley General de Protección de Datos (Ley 13.709/2018).
MFA: autenticación multifactor.
15. Vigencia
Esta política entra en vigor en la fecha de su publicación y permanece vigente hasta su próxima revisión.
