Quienes somos

Nuestra dirección es http://www.andes-tech.cl

 

Políticas de Seguridad de la Aplicación Móvil

Introducción

La seguridad de nuestros usuarios y de sus datos es nuestra máxima prioridad. Esta política de seguridad describe las medidas que hemos implementado para proteger la información y garantizar un uso seguro de nuestra aplicación móvil. Estas políticas se aplican a todos los empleados, contratistas y terceros que manejen información y datos a través de nuestra aplicación. Los riesgos potenciales incluyen la exposición de datos personales, la interceptación de datos en tránsito y accesos no autorizados. Estas políticas están diseñadas para mitigar estos riesgos de manera efectiva.

1. Autenticación y Autorización

• Métodos de Autenticación: Utilizamos autenticación multifactor (MFA) para proporcionar una capa adicional de seguridad, disponible solo para usuarios que cuenten con una cuenta de Okta. Además del nombre de usuario y contraseña, se recomienda el uso de un segundo factor de autenticación a través de la plataforma Okta. Las contraseñas deben ser fuertes, incluyendo letras, números y caracteres especiales, y se requiere su actualización periódica cada tres meses.
• Autorización de Dispositivos Móviles: Cada dispositivo debe ser autorizado mediante tokens de seguridad únicos generados durante el registro. Solo dispositivos confiables y autorizados pueden acceder a la información del usuario.
• Autorización de Periféricos: Se debe autorizar en el dispositivo móvil los siguientes dispositivos periféricos de apoyo:
  • Acceso a almacenamiento de fotografías.
  • Uso de cámara fotográfica para captura de imágenes.
  • Almacenamiento de archivos.
  • Localización por GPS.
• Seguimiento de Intentos de Acceso: Hay un proceso para hacer seguimiento de los intentos de acceso fallidos, así como para gestionar los bloqueos de cuentas en caso de múltiples intentos fallidos. Esto asegura que se tomen medidas oportunas para proteger las cuentas de usuario contra accesos no autorizados.

2. Protección de Datos

• Cifrado: Todos los datos sensibles son cifrados con algoritmos robustos, tanto en tránsito como en reposo. Utilizamos TLS 1.2 y TLS 1.3 para mejorar la seguridad de las conexiones.
• Recolección y Uso de Datos: Recopilamos únicamente los datos esenciales para la funcionalidad de la aplicación. Esto incluye datos de uso y, si es necesario, fotografías registradas que son imprescindibles para operar el sistema. Durante la operación de la aplicación, se utilizan coordenadas GPS, cuyo uso corresponde a validar la toma de los datos operacionales que deben ser controlados y son requeridos por la plataforma.
• Enfoque en la Privacidad de los Datos: Todos los datos, fotografías y posiciones geográficas que son agregadas por la aplicación móvil están destinadas a cubrir las necesidades de la operación y para garantizar la eficacia y funcionalidad de nuestros servicios. No se almacenan datos personales; únicamente se almacenan datos y fotografías que son estrictamente relevantes para la operación cubierta por la aplicación. No compartiremos información con terceros sin el consentimiento explícito del usuario, y cualquier uso de datos estará claramente definido en nuestra política de privacidad.

3. Gestión de Vulnerabilidades

• Identificación de Vulnerabilidades: Llevamos a cabo auditorías regulares y utilizamos pruebas e investigación interna para identificar y abordar posibles fallas en la aplicación.
• Actualizaciones de Seguridad: Implementamos rápidamente actualizaciones de seguridad en respuesta a amenazas y vulnerabilidades, notificando a los usuarios sobre mejoras importantes de seguridad.

4. Seguridad en la Comunicación

• Protocolos Seguros: Toda la comunicación entre la aplicación y nuestros servidores se realiza a través de HTTPS con TLS 1.2 y TLS 1.3, asegurando que la integridad y confidencialidad de los datos sean protegidas.

5. Seguridad en el Almacenamiento

• Datos Sensibles: Utilizamos cifrado y minimización de datos para todos los datos sensibles y críticos en bases de datos seguras con controles de acceso estrictos. Ofrecemos criptografía de extremo a extremo para comunicaciones críticas.
• Seguridad de Dispositivos Móviles: Fomentamos a los usuarios a mantener sus dispositivos actualizados y usar software de seguridad contra malware y ataques.

6. Pruebas de Seguridad

• Pruebas de Penetración: Realizamos pruebas de penetración de manera periódica, especialmente después de introducir cambios significativos. Estas pruebas son realizadas por expertos tanto internos como externos.

• Informes de Seguridad: Los hallazgos de las pruebas se utilizan para mejoras continuas y desarrollan un plan de acción para abordar cualquier hallazgo crítico. Las alertas recibidas por los propios usuarios también son consideradas e incorporadas al plan de acción para mejorar la seguridad de la aplicación.

7. Respuestas a Incidentes de Seguridad

• Protocolo de Acción: Tenemos un protocolo definido para brechas de seguridad que incluye identificación, contención, remediación y recuperación. Informamos a los usuarios afectados rápidamente y proporcionamos actualizaciones sobre el progreso en la remediación.
• Análisis Post-Incidente: Llevamos a cabo revisiones exhaustivas post-incidente para identificar la causa raíz y prevenir futuros incidentes similares. Ofrecemos formación regular a los empleados en respuesta a incidentes.
• Generación de Tickets de Soporte: Ante eventos de seguridad o problemas del sistema, se generan tickets de soporte para el seguimiento y control del problema por parte del equipo de soporte. Esto permite mantener informados a los usuarios sobre el estado del problema hasta su resolución.

8. Cumplimiento Legal y Normativo

• Regulaciones: Cumplimos con todas las leyes y regulaciones aplicables relacionadas con la protección de datos y las leyes comerciales en Chile. Esto incluye, pero no se limita a:
  • Ley N° 19.628 sobre Protección de la Vida Privada, que regula el tratamiento de datos personales.
  • Ley N° 21.096, que establece normas sobre el uso de datos personales y el consentimiento en su recolección y tratamiento.
  • Ley N° 21.719, que modifica y refuerza aspectos relacionados con la protección de datos personales.
  • Reglamento de la Ley de Protección de Datos Personales, que complementa y detalla la aplicación de las normativas anteriores.

También administramos las solicitudes de datos gubernamentales de manera que cumplamos con las regulaciones sin comprometer la privacidad de los usuarios.