Seguridad y Compliance

En Glass Group, la seguridad de la información y la conformidad regulatoria son pilares fundamentales de nuestra operación. Procesamos más de 500 millones de transacciones mensuales para instituciones financieras en todo Brasil, lo que exige los más altos estándares de protección de datos y gobernanza.

1. Certificaciones y Conformidad

1.1. Protección de Datos Personales

Estamos en total conformidad con la Ley N.° 6534/2020 de Protección de Datos Personales Crediticios del Paraguay:

• Encargado de Datos (DPO): Profesional dedicado a la gestión de privacidad
• Registro de Tratamiento: Mapeo completo de todos los flujos de datos personales
• Consentimiento: Mecanismos claros de recolección y gestión del consentimiento
• Derechos de los Titulares: Procesos establecidos para atención en hasta 15 días
• Informe de Impacto (RIPD): Evaluaciones periódicas de riesgo a la privacidad

1.2. PCI-DSS - Payment Card Industry Data Security Standard

Seguimos las directrices del estándar PCI-DSS para protección de datos de pago:

• Red Segura: Firewalls y configuraciones seguras de sistemas
• Protección de Datos: Encriptación de datos de tarjeta en tránsito y reposo
• Gestión de Vulnerabilidades: Antivirus actualizado y sistemas seguros
• Control de Acceso: Restricción de acceso basada en necesidad
• Monitoreo y Pruebas: Rastreo de accesos y pruebas de seguridad
• Política de Seguridad: Documentación y capacitación de colaboradores

1.3. Regulaciones del Banco Central

Nuestras soluciones cumplen con las exigencias del Banco Central de Brasil:

• Resolución CMN 4.893/2021: Política de seguridad cibernética
• Circular BCB 3.909/2018: Requisitos para instituciones de pago
• Open Finance: Conformidad con estándares de APIs abiertas

2. Infraestructura y Tecnología

2.1. Cloud Computing

Nuestra infraestructura está alojada en proveedores de nube líderes mundiales:

• Amazon Web Services (AWS): Certificaciones SOC 1/2/3, ISO 27001, PCI-DSS
• Microsoft Azure: Certificaciones ISO 27001, ISO 27018, SOC 1/2
• Data Centers en Brasil: Datos almacenados en territorio nacional
• Redundancia Geográfica: Replicación en múltiples zonas de disponibilidad

2.2. Encriptación

• En Transito: TLS 1.3 para todas las comunicaciones
• En Reposo: AES-256 para datos almacenados
• Claves: Gestión de claves vía AWS KMS / Azure Key Vault
• Hashing: Bcrypt/Argon2 para contraseñas y datos sensibles

2.3. Disponibilidad y Resiliencia

• SLA: 99.9% de disponibilidad garantizada
• Redundancia: Arquitectura multi-AZ con failover automático
• Respaldos: Respaldos automáticos cada hora, retención de 30 días
• Disaster Recovery: RTO < 4 horas, RPO < 1 hora

3. Controles de Acceso

3.1. Autenticación

• MFA Obligatorio: Autenticación multifactor para todos los accesos administrativos
• SSO: Single Sign-On con SAML 2.0 / OAuth 2.0
• Contraseñas Fuertes: Políticas de complejidad y rotación
• Sesiones: Timeout automático y control de sesiones simultáneas

3.2. Autorización

• RBAC: Control de acceso basado en roles (Role-Based Access Control)
• Menor Privilegio: Acceso mínimo necesario para cada función
• Segregación de Funciones: Separación de ambientes y responsabilidades
• Revisión Periódica: Auditoría trimestral de permisos

4. Monitoreo y Detección

4.1. Monitoreo Continuo

• SIEM: Correlación y análisis de eventos de seguridad 24/7
• IDS/IPS: Detección y prevención de intrusiones en tiempo real
• WAF: Web Application Firewall para protección de aplicaciones
• Protección DDoS: Mitigación automática de ataques volumétricos

4.2. Logs y Auditoría

• Logs Centralizados: Almacenamiento seguro por 12 meses
• Trazabilidad: Registro de todas las acciones en sistemas críticos
• Alertas: Notificaciones automáticas para eventos sospechosos
• Informes: paneles e informes de compliance

5. Gestión de Vulnerabilidades

5.1. Pruebas de Seguridad

• Pentest: Pruebas de penetración anuales por empresa especializada
• Escaneo de Vulnerabilidades: Escaneos semanales automatizados
• Code Review: Revisión de código con enfoque en seguridad
• SAST/DAST: Análisis estático y dinámico en el pipeline de CI/CD

5.2. Gestión de Parches

• Parches Críticos: Aplicación en hasta 24 horas
• Parches Altos: Aplicación en hasta 7 días
• Actualizaciones: Ventanas de mantenimiento programadas

6. Respuesta a Incidentes

6.1. Proceso de Respuesta

Contamos con un plan estructurado de respuesta a incidentes:

• Detección: Identificación a través de monitoreo y alertas
• Contención: Aislamiento inmediato de sistemas afectados
• Erradicación: Eliminación de la causa raíz del incidente
• Recuperación: Restauración segura de los servicios
• Lecciones Aprendidas: Análisis post-mortem y mejoras

6.2. Comunicación

• Notificación ANPD: En hasta 72 horas para incidentes con datos personales
• Comunicación a Clientes: Transparencia sobre incidentes relevantes
• Informe de Incidentes: Documentación completa de cada ocurrencia

7. Seguridad Física

7.1. Data Centers

Los data centers utilizados cuentan con:

• Control de Acceso: Biometría, tarjetas y vigilancia 24/7
• Redundancia Eléctrica: UPS y generadores
• Climatización: Sistemas redundantes de refrigeración
• Detección de Incendios: Sistemas automáticos de supresión

7.2. Oficinas

• Acceso Controlado: Torniquetes y control de visitantes
• Clean Desk: Política de escritorio limpio
• Eliminación Segura: Destrucción certificada de documentos y medios

8. Capacitación y Concientización

• Onboarding: Capacitación en seguridad para nuevos colaboradores
• Actualización Anual: Actualización obligatoria sobre políticas
• Phishing Simulado: Pruebas periódicas de ingeniería social
• Comunicados: Alertas sobre nuevas amenazas y buenas prácticas

9. Socios y Proveedores

Exigimos de nuestros socios y proveedores:

• Due Diligence: Evaluación de seguridad antes de la contratación
• Cláusulas Contractuales: Obligaciones de seguridad y privacidad
• Auditorías: Derecho de auditoría en proveedores críticos
• Certificaciones: Exigencia de certificaciones relevantes (ISO 27001, SOC 2)