🛡️ Compromiso con la Seguridad
Protegemos sus datos y sistemas con los más altos estándares internacionales
1. Introducción
En ING. RAMIREZ CHIROQUE JHONNY & Hijo SAC (ING. JHONNY RAMIREZ CHIROQUE), la seguridad de la información es un pilar fundamental de nuestra operación. Como empresa desarrolladora de software empresarial, aplicamos rigurosos estándares de seguridad en todas nuestras soluciones, incluyendo sistemas ERP, aplicaciones móviles, sistemas web, módulos personalizados y cualquier desarrollo a medida.
Este documento describe las medidas de seguridad, estándares y mejores prácticas que implementamos en todo el software desarrollado por ING. JHONNY RAMIREZ CHIROQUE para proteger los datos, sistemas y la continuidad operativa de nuestros clientes.
2. Pilares de Nuestra Seguridad
🔒 Confidencialidad
Garantizamos que la información solo sea accesible para personas autorizadas mediante controles de acceso estrictos y cifrado de datos.
✅ Integridad
Aseguramos que los datos no sean alterados de manera no autorizada, manteniendo su exactitud y completitud en todo momento.
⚡ Disponibilidad
Garantizamos el acceso oportuno y confiable a la información y sistemas cuando los usuarios autorizados lo requieran.
📋 Trazabilidad
Registramos todas las actividades críticas para permitir auditorías y seguimiento de acciones en los sistemas.
3. Marco de Seguridad
Nuestra estrategia de seguridad se basa en marcos reconocidos internacionalmente:
Estándares y Marcos Aplicados:
- ISO/IEC 27001:2022 - Sistema de Gestión de Seguridad de la Información (SGSI)
- ISO/IEC 27002:2022 - Controles de Seguridad de la Información
- OWASP ASVS - Estándar de Verificación de Seguridad de Aplicaciones
- OWASP Top 10 - Principales vulnerabilidades en aplicaciones web
- NIST Cybersecurity Framework - Marco de Ciberseguridad
- CIS Controls - Controles Críticos de Seguridad
4. Alcance: Todo el Software Desarrollado por ING. JHONNY RAMIREZ CHIROQUE
4.1. Tipos de Software Cubiertos
🖥️ Sistemas ERP
SIGRE y cualquier sistema de gestión empresarial: Inventarios, Contabilidad, Ventas, Compras, RRHH, Producción, BI.
📱 Aplicaciones Móviles
FastSales, Hermes y cualquier app móvil Android/iOS desarrollada para nuestros clientes.
🌐 Sistemas Web
Portales, dashboards, sistemas de reportes, e-commerce y aplicaciones web empresariales.
🔌 Integraciones y APIs
Web services, APIs REST, integraciones con SUNAT, bancos, proveedores y terceros.
🛠️ Desarrollos a Medida
Módulos personalizados, automatizaciones, scripts y cualquier desarrollo específico para clientes.
📊 Business Intelligence
Reportes, dashboards analíticos, cubos OLAP y herramientas de análisis de datos.
4.2. Compromiso Contractual
Todos nuestros contratos de desarrollo de software incluyen cláusulas que garantizan la aplicación de estas medidas de seguridad. Nuestros clientes pueden confiar en que cualquier solución desarrollada por ING. JHONNY RAMIREZ CHIROQUE cumple con:
- Estándares de codificación segura basados en OWASP
- Cifrado de datos en tránsito y en reposo
- Controles de autenticación y autorización robustos
- Pruebas de seguridad antes de cada entrega
- Gestión de vulnerabilidades durante todo el ciclo de vida
- Documentación de seguridad y guías de hardening
5. Responsabilidades
🛡️ Equipo de Seguridad
Responsable de Seguridad: Oficial de Seguridad de la Información (CISO)
Email: jramirez@npssac.com.pe
Funciones:
- Definir y mantener políticas de seguridad
- Supervisar implementación de controles
- Gestionar incidentes de seguridad
- Realizar evaluaciones de riesgos
- Coordinar auditorías de seguridad
📋 Normas ISO de Seguridad
Cumplimiento con estándares internacionales de gestión de seguridad
ISO/IEC 27001:2022
ISO/IEC 27001 es la norma internacional más reconocida para sistemas de gestión de seguridad de la información (SGSI). Define los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad.
¿Por qué es importante ISO 27001?
- Proporciona un marco sistemático para gestionar la seguridad
- Identifica y mitiga riesgos de seguridad proactivamente
- Demuestra compromiso con la protección de datos
- Mejora la confianza de clientes y socios comerciales
- Cumple con requisitos regulatorios y contractuales
Requisitos Clave que Implementamos
| Cláusula | Requisito | Nuestra Implementación |
|---|---|---|
| 4 | Contexto de la organización | Análisis de partes interesadas y alcance definido del SGSI |
| 5 | Liderazgo | Política de seguridad aprobada por dirección, roles definidos |
| 6 | Planificación | Evaluación de riesgos anual, plan de tratamiento de riesgos |
| 7 | Soporte | Recursos, competencias, capacitación continua |
| 8 | Operación | Controles operacionales, gestión de cambios |
| 9 | Evaluación del desempeño | Monitoreo, auditorías internas, revisión por dirección |
| 10 | Mejora | Gestión de no conformidades, mejora continua |
ISO/IEC 27002:2022
ISO 27002 proporciona las buenas prácticas y controles específicos para implementar la seguridad. La versión 2022 organiza los controles en 4 categorías principales:
🏢 Controles Organizacionales (37)
- Políticas de seguridad
- Gestión de activos
- Control de acceso
- Gestión de proveedores
- Gestión de incidentes
👥 Controles de Personas (8)
- Selección de personal
- Términos de empleo
- Concientización
- Proceso disciplinario
- Terminación de empleo
🏗️ Controles Físicos (14)
- Perímetros de seguridad
- Control de acceso físico
- Protección de equipos
- Seguridad del cableado
- Mantenimiento de equipos
💻 Controles Tecnológicos (34)
- Gestión de vulnerabilidades
- Cifrado y criptografía
- Desarrollo seguro
- Protección contra malware
- Respaldo de información
Otras Normas ISO Relevantes
ISO/IEC 27701:2019 - Gestión de Privacidad
Extensión de ISO 27001 para gestión de información personal (PII). Nos ayuda a cumplir con:
- Ley de Protección de Datos Personales (Perú)
- GDPR (Unión Europea)
- LGPD (Brasil)
ISO/IEC 27017:2015 - Seguridad en Cloud
Controles específicos para servicios en la nube que aplicamos en nuestras implementaciones cloud:
- Segregación de datos entre clientes
- Seguridad de máquinas virtuales
- Hardening de contenedores
ISO/IEC 27018:2019 - Protección de PII en Cloud
Protección de datos personales en entornos de nube pública.
ISO 22301 - Continuidad del Negocio
Sistema de gestión de continuidad del negocio para garantizar la disponibilidad de servicios ante desastres.
🔐 Seguridad de Aplicaciones - OWASP
Protección contra las vulnerabilidades más críticas en aplicaciones web y móviles
¿Qué es OWASP?
OWASP (Open Web Application Security Project) es una fundación sin fines de lucro que trabaja para mejorar la seguridad del software. Proporciona guías, herramientas y estándares gratuitos reconocidos mundialmente.
Recursos OWASP que Utilizamos:
- OWASP Top 10: Las 10 vulnerabilidades más críticas en aplicaciones web
- OWASP ASVS: Estándar de Verificación de Seguridad de Aplicaciones
- OWASP Mobile Top 10: Vulnerabilidades en aplicaciones móviles
- OWASP WSTG: Guía de Pruebas de Seguridad Web
- OWASP Secure Coding Practices: Prácticas de codificación segura
OWASP Top 10 - 2021
Lista oficial de las 10 vulnerabilidades más críticas en aplicaciones web y cómo las mitigamos:
-
A01 - Pérdida de Control de Acceso
Fallas que permiten a usuarios actuar fuera de sus permisos autorizados.
Nuestra protección: Control de acceso basado en roles (RBAC), validación en servidor, principio de mínimo privilegio.
-
A02 - Fallas Criptográficas
Exposición de datos sensibles por criptografía débil o inexistente.
Nuestra protección: TLS 1.3 para datos en tránsito, AES-256 para datos en reposo, gestión segura de claves.
-
A03 - Inyección
SQL injection, NoSQL injection, OS command injection, LDAP injection.
Nuestra protección: Consultas parametrizadas, validación de entrada, escape de caracteres especiales, ORM seguro.
-
A04 - Diseño Inseguro
Fallas de diseño y arquitectura que no pueden corregirse solo con código.
Nuestra protección: Modelado de amenazas, Security by Design, revisión de arquitectura, patrones de diseño seguros.
-
A05 - Configuración de Seguridad Incorrecta
Configuraciones por defecto inseguras, permisos mal configurados, funciones innecesarias habilitadas.
Nuestra protección: Hardening de servidores, configuración automatizada, revisión de configuraciones, deshabilitación de servicios innecesarios.
-
A06 - Componentes Vulnerables y Desactualizados
Uso de bibliotecas, frameworks o componentes con vulnerabilidades conocidas.
Nuestra protección: Escaneo de dependencias (SCA), actualizaciones regulares, monitoreo de CVEs, inventario de componentes.
-
A07 - Fallas de Identificación y Autenticación
Debilidades en verificación de identidad, gestión de sesiones, contraseñas.
Nuestra protección: Autenticación multi-factor (MFA), políticas de contraseñas fuertes, bloqueo de cuentas, tokens seguros.
-
A08 - Fallas de Integridad de Software y Datos
Código y datos que no verifican integridad, actualizaciones inseguras.
Nuestra protección: Firmas digitales, verificación de integridad, pipelines CI/CD seguros, código firmado.
-
A09 - Fallas de Registro y Monitoreo
Logging insuficiente, detección y respuesta inadecuada a incidentes.
Nuestra protección: Logging centralizado, SIEM, alertas automáticas, retención de logs, monitoreo 24/7.
-
A10 - Server-Side Request Forgery (SSRF)
Aplicación que realiza solicitudes a URLs proporcionadas por usuarios sin validación.
Nuestra protección: Validación de URLs, listas blancas, segmentación de red, firewalls de aplicación.
OWASP Mobile Top 10
Para nuestras aplicaciones móviles (FastSales, Hermes) aplicamos protecciones contra:
M1 - Uso Inadecuado de Credenciales
Almacenamiento seguro de tokens, no hardcoding de secretos, rotación de API keys.
M2 - Suministro de Cadena Inseguro
Verificación de dependencias, bibliotecas de fuentes confiables, escaneo de vulnerabilidades.
M3 - Autenticación Insegura
OAuth 2.0, biometría, tokens JWT con expiración, validación en servidor.
M4 - Validación Insuficiente
Validación de entrada en cliente y servidor, sanitización de datos, escape de caracteres.
M5 - Comunicación Insegura
TLS obligatorio, certificate pinning, no permitir conexiones HTTP.
M6 - Privacidad Inadecuada
Permisos granulares, consentimiento explícito, minimización de datos.
OWASP ASVS - Niveles de Verificación
Aplicamos el Estándar de Verificación de Seguridad de Aplicaciones según el nivel de criticidad:
| Nivel | Descripción | Aplicación |
|---|---|---|
| Nivel 1 | Seguridad básica para todas las aplicaciones | Aplicaciones internas, herramientas de soporte |
| Nivel 2 | Aplicaciones que manejan datos sensibles | SIGRE, FastSales, Hermes - Recomendado |
| Nivel 3 | Aplicaciones críticas de alta seguridad | Módulos financieros, procesamiento de pagos |
⚙️ Medidas Técnicas de Seguridad
Controles técnicos implementados en nuestras aplicaciones e infraestructura
1. Cifrado y Criptografía
1.1. Cifrado de Datos en Tránsito
Toda comunicación de datos entre clientes, servidores y servicios externos está protegida:
- Protocolo TLS 1.3: Versión más reciente y segura (mínimo TLS 1.2)
- HTTPS Obligatorio: No se permite HTTP sin cifrar en ninguna aplicación
- Certificate Pinning: En aplicaciones móviles para prevenir ataques MITM
- mTLS: Autenticación mutua entre microservicios internos
- HSTS: HTTP Strict Transport Security habilitado
1.2. Cifrado de Datos en Reposo (At-Rest Encryption)
El cifrado en reposo protege los datos almacenados en cualquier medio de almacenamiento contra accesos no autorizados, incluso si un atacante obtiene acceso físico al disco o a los archivos de respaldo.
🔒 Implementación de Cifrado en Reposo en Todo Nuestro Software
Bases de Datos
- Transparent Data Encryption (TDE): Cifrado automático a nivel de base de datos en SQL Server, PostgreSQL y MySQL
- Algoritmo: AES-256 (Advanced Encryption Standard con clave de 256 bits)
- Cifrado de columnas: Cifrado adicional a nivel de columna para datos ultra-sensibles (números de tarjeta, contraseñas, datos médicos)
- Always Encrypted: Los datos permanecen cifrados incluso en memoria del servidor
Archivos y Documentos
- Cifrado de archivos: AES-256-GCM para documentos, imágenes, PDFs y adjuntos
- Cifrado de volúmenes: BitLocker (Windows) o LUKS (Linux) en servidores
- Archivos temporales: Cifrados y eliminados de forma segura después del uso
Respaldos y Backups
- Backups cifrados: Todos los respaldos se cifran antes de almacenar
- Claves separadas: Las claves de cifrado de backups son diferentes a las de producción
- Almacenamiento seguro: Backups en ubicaciones geográficamente separadas
Almacenamiento en la Nube
- Server-Side Encryption (SSE): Cifrado automático en AWS S3, Azure Blob, Google Cloud Storage
- Customer-Managed Keys (CMK): Claves administradas por ING. JHONNY RAMIREZ CHIROQUE, no por el proveedor cloud
- Cifrado del lado del cliente: Opción de cifrar antes de subir a la nube
Dispositivos Móviles
- SQLCipher: Bases de datos SQLite cifradas en apps móviles
- Keychain/Keystore: Almacenamiento seguro de credenciales en iOS/Android
- Cifrado de caché: Datos en caché local siempre cifrados
1.3. Gestión de Claves de Cifrado
🔑 Key Management System (KMS)
La seguridad del cifrado depende de la protección de las claves:
- Hardware Security Modules (HSM): Almacenamiento de claves maestras en hardware dedicado
- Rotación de claves: Cambio automático de claves cada 12 meses
- Separación de claves: Claves diferentes para cada ambiente (desarrollo, pruebas, producción)
- Backup de claves: Procedimientos seguros de respaldo y recuperación de claves
- Acceso restringido: Solo personal autorizado puede acceder a claves maestras
- Auditoría: Registro de todo acceso y uso de claves de cifrado
1.4. Algoritmos Criptográficos Aprobados
| Propósito | Algoritmo | Tamaño de Clave |
|---|---|---|
| Cifrado simétrico (datos) | AES-GCM | 256 bits |
| Cifrado asimétrico | RSA / ECDSA | 2048+ bits / P-256 |
| Hash de contraseñas | Argon2id / Bcrypt | N/A (cost factor 12+) |
| Hash de integridad | SHA-256 / SHA-3 | 256 bits |
| Firma digital | RSA-PSS / ECDSA | 2048+ bits / P-256 |
| Intercambio de claves | ECDH / X25519 | 256 bits |
| Tokens JWT | RS256 / ES256 | 2048 bits / P-256 |
⚠️ Algoritmos Prohibidos
Los siguientes algoritmos están prohibidos en todo software de ING. JHONNY RAMIREZ CHIROQUE por ser inseguros:
- MD5: Vulnerable a colisiones, no usar para ningún propósito de seguridad
- SHA-1: Deprecated, vulnerable a ataques de colisión
- DES / 3DES: Tamaño de clave insuficiente
- RC4: Múltiples vulnerabilidades conocidas
- SSL 2.0/3.0, TLS 1.0/1.1: Protocolos obsoletos e inseguros
2. Autenticación y Control de Acceso
2.1. Autenticación
- Autenticación Multi-Factor (MFA): Obligatorio para administradores, opcional para usuarios
- Single Sign-On (SSO): Integración con Active Directory, Google Workspace
- Políticas de Contraseñas:
- Mínimo 12 caracteres
- Combinación de mayúsculas, minúsculas, números y símbolos
- No permitir contraseñas comunes (lista de contraseñas comprometidas)
- Expiración cada 90 días para cuentas privilegiadas
- Bloqueo de Cuentas: Después de 5 intentos fallidos, bloqueo por 30 minutos
- Detección de Fuerza Bruta: Rate limiting y CAPTCHA adaptativo
2.2. Control de Acceso (RBAC)
- Principio de Mínimo Privilegio: Solo acceso necesario para el rol
- Segregación de Funciones: Separación de tareas críticas
- Revisión Periódica: Auditoría trimestral de permisos
- Desactivación Automática: Cuentas inactivas por 90 días
3. Seguridad de Red
🔥 Firewalls
- Firewall de aplicación web (WAF)
- Firewall de próxima generación (NGFW)
- Segmentación de red
- Listas blancas de IPs
🛡️ Protección DDoS
- Cloudflare Enterprise
- Rate limiting inteligente
- Geo-blocking opcional
- Challenge pages
🔍 Monitoreo
- IDS/IPS (Detección de intrusiones)
- Análisis de tráfico
- Alertas en tiempo real
- Threat Intelligence
🌐 VPN y Acceso Remoto
- VPN corporativa obligatoria
- Zero Trust Network Access
- Verificación de dispositivos
- Conexiones cifradas
4. Seguridad de Base de Datos
Todas las bases de datos utilizadas por software de ING. JHONNY RAMIREZ CHIROQUE implementan las siguientes medidas:
🔐 Cifrado en Reposo
- TDE (Transparent Data Encryption)
- Cifrado AES-256 a nivel de disco
- Cifrado de columnas sensibles
- Backups siempre cifrados
🎭 Enmascaramiento
- Dynamic Data Masking
- Datos sensibles enmascarados
- Acceso granular por rol
- Logs sin datos sensibles
📋 Auditoría
- Registro de consultas
- Tracking de cambios (CDC)
- Logs de acceso
- Alertas de anomalías
🔒 Control de Acceso
- Cuentas de servicio dedicadas
- Sin acceso directo de usuarios
- Principio de mínimo privilegio
- Conexiones cifradas (TLS)
5. Seguridad de Aplicaciones
5.1. Desarrollo Seguro (SSDLC)
Ciclo de Desarrollo Seguro:
- Requisitos: Requisitos de seguridad desde el inicio
- Diseño: Modelado de amenazas, revisión de arquitectura
- Desarrollo: Coding standards, revisión de código, SAST
- Pruebas: Pruebas de seguridad, DAST, penetration testing
- Despliegue: Verificación de seguridad, hardening
- Operación: Monitoreo, respuesta a incidentes, parches
5.2. Herramientas de Seguridad
| Tipo | Herramienta | Propósito |
|---|---|---|
| SAST | SonarQube, Semgrep | Análisis estático de código fuente |
| DAST | OWASP ZAP, Burp Suite | Análisis dinámico de aplicaciones en ejecución |
| SCA | Snyk, Dependabot | Análisis de componentes y dependencias |
| Container | Trivy, Clair | Escaneo de imágenes de contenedores |
| Secrets | GitLeaks, TruffleHog | Detección de secretos en código |
6. Protección contra Malware
- Antivirus/EDR: En todos los servidores y estaciones
- Sandboxing: Análisis de archivos sospechosos
- Email Security: Filtrado de spam y phishing
- Web Filtering: Bloqueo de sitios maliciosos
7. Gestión de Vulnerabilidades
Proceso de Gestión de Vulnerabilidades:
- Identificación: Escaneos automáticos semanales, pruebas de penetración semestrales
- Clasificación: Según CVSS (Critical, High, Medium, Low)
- Priorización: Basada en exposición y criticidad del activo
- Remediación: SLA según severidad:
- Crítica: 24-48 horas
- Alta: 7 días
- Media: 30 días
- Baja: 90 días
- Verificación: Re-escaneo post-remediación
8. Respaldo y Recuperación
- Frecuencia: Backups incrementales cada hora, completos diarios
- Retención: 30 días diarios, 12 meses mensuales
- Ubicación: Múltiples zonas geográficas (Perú, USA, Europa)
- Cifrado: AES-256 con claves separadas
- Pruebas: Restauración de prueba mensual
- RTO/RPO: RTO 4 horas, RPO 1 hora
9. Logging y Monitoreo
- Centralización: Todos los logs en sistema SIEM
- Retención: 1 año para logs de seguridad, 90 días para operacionales
- Alertas: Notificaciones en tiempo real para eventos críticos
- Correlación: Detección de patrones de ataque
- Dashboards: Visibilidad en tiempo real del estado de seguridad
🏆 Certificaciones y Auditorías
Validación externa de nuestras prácticas de seguridad
Estado de Certificaciones
Programa de Auditorías
📊 Auditorías Regulares:
- Auditoría Interna de Seguridad: Trimestral
- Auditoría Externa de SGSI: Anual
- Pruebas de Penetración: Semestral (por terceros independientes)
- Evaluación de Vulnerabilidades: Mensual
- Revisión de Código: Continua (en cada release)
- Simulacros de Incidentes: Semestral
Gestión de Incidentes de Seguridad
Proceso de Respuesta a Incidentes
- Detección: Identificación del incidente mediante monitoreo o reporte
- Análisis: Evaluación del alcance e impacto
- Contención: Acciones inmediatas para limitar el daño
- Erradicación: Eliminación de la amenaza
- Recuperación: Restauración de sistemas afectados
- Lecciones Aprendidas: Análisis post-incidente y mejoras
⚠️ Notificación de Brechas de Seguridad
En caso de brecha de seguridad que afecte datos personales:
- Notificación a Autoridades: Dentro de 72 horas (GDPR) / 5 días hábiles (Perú)
- Notificación a Afectados: Sin demora injustificada
- Contenido: Naturaleza de la brecha, datos afectados, medidas tomadas, recomendaciones
Capacitación en Seguridad
- Inducción: Capacitación obligatoria para nuevos empleados
- Anual: Actualización de conocimientos de seguridad
- Phishing: Simulaciones mensuales de phishing
- Desarrollo: Capacitación específica en codificación segura
- Certificaciones: Apoyo para certificaciones profesionales (CISSP, CEH, etc.)
Reporte de Vulnerabilidades
🔍 Divulgación Responsable
Si descubre una vulnerabilidad de seguridad en nuestros sistemas, le agradecemos que nos lo comunique de manera responsable:
Email: jramirez@npssac.com.pe
Asunto: [VULNERABILIDAD] - Descripción breve
Nos comprometemos a:
- Responder en un plazo máximo de 48 horas
- Mantenerlo informado del progreso de la remediación
- Reconocer su contribución (si lo desea)
- No tomar acciones legales contra investigadores que actúen de buena fe
Contacto de Seguridad
🛡️ Equipo de Seguridad de la Información
ING. JHONNY RAMIREZ CHIROQUE
RUC: 10056450608
Dirección: Piura - Piura - Piura, Perú
Oficial de Seguridad (CISO): jramirez@npssac.com.pe
Oficial de Protección de Datos (DPO): dpo@npssac.com.pe
Reporte de Incidentes: incidentes@npssac.com.pe
Soporte General: soporte@npssac.com.pe
Teléfono: +51 960 329 223
Horario: Lunes a Sábado, 8:00 - 20:00 horas
Respuesta a Incidentes Críticos: 24/7
Versión: 1.0
Próxima revisión: 28 de enero de 2027
Responsable: Oficial de Seguridad de la Información