Seguridad de la información

Cómo protegemos
lo que operamos.

Las plataformas que construimos manejan datos académicos, financieros y de salud de nuestros clientes. Aplicamos controles técnicos y operacionales alineados a la Ley 21.663 Marco de Ciberseguridad de Chile, la Ley 21.719 de Datos Personales y buenas prácticas internacionales (ISO/IEC 27001, NIST CSF).

Vigente desde: 25 de mayo, 2026Última revisión: 25 de mayo, 2026

1. Nuestros principios

  • Mínimo privilegio: cada persona, sistema y servicio accede solo a lo estrictamente necesario.
  • Defensa en profundidad: nunca confiamos en una sola capa de seguridad.
  • Confidencialidad por defecto: los datos se asumen sensibles salvo prueba en contrario.
  • Auditabilidad: cada cambio crítico queda registrado e inmutable.
  • Respuesta rápida: protocolo activo 24/7 para incidentes críticos.

2. Cifrado de datos

En tránsito

  • TLS 1.3 obligatorio en toda comunicación HTTP, sin fallback a versiones inseguras.
  • HSTS habilitado con duración de 2 años y preload.
  • Certificados gestionados automáticamente con renovación anticipada.

En reposo

  • Bases de datos cifradas con AES-256 a nivel de disco.
  • Almacenamiento de archivos cifrado server-side (AWS S3 / GCS / Cloudflare R2 con SSE).
  • Backups cifrados con claves separadas de las de producción.

Contraseñas

  • Hash con bcrypt (cost factor ≥ 12) o argon2id según el stack.
  • Opción de magic-link sin contraseñas en sistemas que lo permiten.
  • Soporte de 2FA TOTP y WebAuthn cuando el cliente lo solicita.

3. Control de accesos

  • RBAC granular con roles configurables por módulo en cada producto.
  • Row-Level Security a nivel Postgres para garantizar aislamiento multi-tenant.
  • SSO con SAML 2.0, OAuth 2.0 o LDAP/AD según corresponda.
  • Revisión trimestral de accesos en sistemas en producción.
  • Off-boarding automático al egreso de personal del cliente o de nuestro equipo.

4. Infraestructura

Los sistemas que operamos viven en infraestructura de nube reconocida:

  • AWS (regiones LATAM, principalmente sa-east-1).
  • Google Cloud Platform (southamerica-east1).
  • Cloudflare para edge, DNS y protección DDoS.
  • Vercel para hosting de marketing (no maneja datos personales).

Algunos clientes prefieren infraestructura propia (on-premise o nube privada). En esos casos desplegamos contenedores firmados y aplicamos los mismos controles, documentando responsabilidades compartidas en el contrato.

5. Respaldos y continuidad operacional

  • Backups automáticos diarios con retención de 30 días.
  • Backups semanales con retención de 90 días.
  • Pruebas de restauración trimestrales documentadas.
  • RPO objetivo: 24 horas. RTO objetivo: 4 horas para sistemas críticos.
  • Plan de continuidad operacional ensayado anualmente.

6. Respuesta a incidentes

Aplicamos un protocolo formal alineado a NIST CSF y los plazos exigidos por la Ley 21.663 Marco de Ciberseguridad:

  1. Detección mediante alertas automatizadas y monitoreo 24/7.
  2. Contención en ventana objetivo de 1 hora desde la detección.
  3. Notificación al cliente en máximo 24 horas, con resumen del incidente y medidas tomadas.
  4. Notificación a autoridades (ANCI, Agencia de Protección de Datos cuando esté en funcionamiento) dentro de los plazos legales.
  5. Erradicación y recuperación con validación de integridad.
  6. Análisis post-mortem y acciones correctivas documentadas.
Sin incidentes con compromiso de datos personales a la fecha.

Actualizaremos esta política si esa situación cambiara, conforme a la obligación legal de transparencia.

7. Auditoría y trazabilidad

  • Logs de acceso inmutables con retención mínima de 12 meses.
  • Registro de cambios en datos sensibles (quién, qué, cuándo).
  • Segregación de funciones entre desarrollo, despliegue y operación.
  • Reportes de auditoría disponibles bajo solicitud para clientes corporativos.

8. Cumplimiento normativo

  • Ley 21.719 de Protección de Datos Personales (Chile).
  • Ley 21.663 Marco de Ciberseguridad e Infraestructura Crítica (Chile).
  • RGPD (Reglamento UE 2016/679) cuando aplica para clientes en Europa.
  • Buenas prácticas alineadas a ISO/IEC 27001 y NIST Cybersecurity Framework.
  • Para clientes con datos clínicos: lineamientos del MINSAL y guías de la Agencia de Datos Personales aplicables.

Mindigital no opera por sí misma servicios calificados como infraestructura crítica nacional, pero alineamos nuestras prácticas internas al estándar exigido a Operadores de Importancia Vital (OIV) de manera anticipatoria.

9. Cómo reportar una vulnerabilidad

Si descubres una vulnerabilidad en cualquiera de nuestros sistemas, agradecemos un reporte responsable a jonathan@mindigital.cl con el asunto "Reporte de vulnerabilidad".

Compromiso:

  • Acuse de recibo dentro de 48 horas hábiles.
  • Evaluación inicial dentro de 5 días hábiles.
  • Comunicación periódica del progreso.
  • Reconocimiento público al reportante, si lo desea, una vez corregida la vulnerabilidad.

Pedimos no divulgar la vulnerabilidad hasta que esté resuelta. No realizamos acciones legales contra investigadores de buena fe que sigan estas pautas.

¿Necesitas un documento técnico de seguridad?

Bajo NDA podemos entregar el dossier completo para evaluaciones de proveedores.

Solicitar