Política de seguridad de la información
CumplidoDocumento formal con controles técnicos y organizativos: cifrado AES-256, TLS 1.2+, audit logs, gestión de credenciales y respuesta a incidentes.
Ver documento →Esta página consolida los documentos y capacidades requeridos por la Norma General 10-21 de la DGII para Proveedores de Servicios de Facturación Electrónica. Cada item enlaza al documento o sección correspondiente.
Listado oficial de la Norma General 10-21 (referencia CA4409 de la comunidad oficial DGII).
Documento formal con controles técnicos y organizativos: cifrado AES-256, TLS 1.2+, audit logs, gestión de credenciales y respuesta a incidentes.
Ver documento →Procedimientos para asegurar la continuidad operativa ante eventos disruptivos. Incluye modo contingencia DGII, RTO 4h y RPO 1h.
Ver documento →Política de privacidad pública conforme a la Ley 172-13 de la República Dominicana, incluyendo derechos ARCO y procedimiento para ejercerlos.
Ver documento →SLA público con compromiso 99.5% de disponibilidad y tiempos de respuesta por severidad (P1 < 1h, P2 < 4h, P3 < 1d, P4 < 3d).
Ver documento →Cuatro canales con responsables claros: soporte técnico, comercial, incidentes 24/7 y legal/privacidad.
Ver documento →Pendiente: completar y firmar el formulario oficial DGII para postulación como Proveedor de Servicios de FE.
La Norma 10-21 también exige capacidades técnicas operativas. Estas son las nuestras.
Tablas audit_logs y dgii_webhook_logs en producción. Cada operación queda registrada con método, path, IP, empresa, status y duración.
Backups automáticos semanales en S3 con retención de 7 años (lifecycle hot → warm → glacier). Pruebas de restauración semestrales.
Ver documento →Certificados P12 de clientes cifrados con AES-256-GCM. Clave maestra gestionada en KMS separada de los datos.
Ver documento →TLS 1.2+ obligatorio en todos los endpoints públicos. HSTS preload activo en sitio web y API.
La DGII menciona estos elementos como bienvenidos pero no exigidos — específicamente con la frase "si posee".
No obtenida. La Norma 10-21 indica explícitamente "si posee" — es opcional. Implementamos los mismos controles ISO 27001 sin la certificación formal.