Política de Seguridad de la Información
Yisrael Technology SRL
Versión: 1.0 — Draft
Fecha: 2026-05-08
Aprobado por: [Pendiente firma — Alexander Ferreras, Authorized Agent]
Próxima revisión: 2027-05-08 (anual)
1. Propósito
Esta Política establece los principios, normas y procedimientos que rigen el tratamiento de la información que Yisrael Technology SRL ("la Empresa") procesa en su plataforma ecf-api para la emisión, recepción y consulta de Comprobantes Fiscales Electrónicos (e-CF) ante la Dirección General de Impuestos Internos (DGII) de la República Dominicana.
Su cumplimiento es obligatorio para todos los empleados, contratistas y terceros que tengan acceso a sistemas o información de la Empresa.
2. Alcance
Esta Política aplica a:
- Toda la información tributaria de los contribuyentes (e-CF, certificados digitales P12, RNC, datos comerciales)
- Las credenciales de acceso (API keys, contraseñas de bases de datos, secretos de cifrado)
- Los logs de auditoría y bitácoras del sistema
- La infraestructura tecnológica que soporta el servicio (servidores, bases de datos, repositorios de código, sistemas de respaldo)
- Cualquier dato personal de los empleados de los contribuyentes en cumplimiento de la Ley 172-13
3. Marco normativo
- Ley 32-23 sobre Facturación Electrónica
- Ley 172-13 sobre Protección de Datos Personales
- Norma General 01-2020 (DGII)
- Código Tributario (Ley 11-92)
4. Roles y responsabilidades
| Rol | Responsable | Funciones |
|---|---|---|
| Responsable de Seguridad de la Información | Alexander Ferreras (CEO) | Aprobación de políticas, supervisión, respuesta a incidentes |
| Administrador de Sistemas | Alexander Ferreras (interim) | Aplicar controles técnicos, monitorear logs, gestión de credenciales |
| Encargado de Protección de Datos | Alexander Ferreras (interim) | Punto de contacto Ley 172-13 |
| Cualquier empleado/contratista | — | Cumplir esta política, reportar incidentes |
Cuando la Empresa contrate un segundo empleado técnico, los roles serán segregados conforme a buenas prácticas (separation of duties).
5. Clasificación de la información
| Nivel | Tipo de dato | Ejemplos |
|---|---|---|
| CRÍTICA | Datos que comprometen integridad fiscal o financiera | Certificados P12, contraseñas, secretos de cifrado (CRYPTO_MASTER_KEY) |
| ALTA | Datos que identifican operaciones tributarias | XMLs de e-CF, eNCFs, RNCs, audit_logs |
| MEDIA | Información operativa de la Empresa | Logs de aplicación, reportes mensuales |
| PÚBLICA | Información publicable | Documentación API, página de estado |
6. Controles técnicos implementados
6.1 Control de acceso
- Acceso al API requiere
X-Api-Keycon bcrypt hash en DB (no texto plano) - API keys con expiración configurable (
expiraEn) y revocación inmediata - Rate limiting global: 30 requests/10s (anti-burst) + 100 requests/min (cuota normal)
- Bitácora de toda operación HTTP en tabla
audit_logscon sanitización de campos sensibles - Bitácora dedicada de webhooks DGII en tabla
dgii_webhook_logs
6.2 Cifrado
- En tránsito: HTTPS/TLS 1.2+ obligatorio en todos los endpoints (HSTS configurado vía Helmet)
- En reposo:
- Contraseñas de certificados P12: cifradas con AES-256-GCM (
EncryptionService) - Backups en S3: cifrados con SSE-S3 (AES-256)
- Secretos del entorno (DATABASE_URL, CRYPTO_MASTER_KEY): variables de entorno seguras
- Contraseñas de certificados P12: cifradas con AES-256-GCM (
6.3 Almacenamiento seguro
- Base de datos PostgreSQL en Neon (proveedor SOC 2 Type II)
- Backups semanales automáticos a S3 con retención 7 años (lifecycle tier-aware)
- Versionado y bloqueo de acceso público en bucket S3
- Acceso a S3 mediante usuario IAM dedicado con permisos mínimos (
ecf-api-backup)
6.4 Headers de seguridad HTTP
Implementados via Helmet:
Strict-Transport-Security(HSTS 180 días)X-Frame-Options: DENYX-Content-Type-Options: nosniffReferrer-Policy: no-referrer
6.5 Logs y auditoría
- Toda mutación HTTP queda registrada en
audit_logscon: método, path, status, IP, empresaId, timestamp, body sanitizado - Errores 5xx disparan alerta automática vía email a
info@yisraeltech.com - Retención mínima de logs: 7 años (mismo backup tier-aware)
7. Gestión de credenciales
| Credencial | Almacenamiento | Rotación |
|---|---|---|
| API keys de clientes | bcrypt hash en api_keys.secretHash |
Configurable por cliente, default sin expiración |
| Contraseñas P12 de contribuyentes | AES-256-GCM cifrado en Certificate.passwordEncrypted |
A solicitud del contribuyente |
CRYPTO_MASTER_KEY |
Variable de entorno del servidor | Anual (procedimiento documentado en politica-contingencia.md) |
Credenciales AWS (ecf-api-backup) |
GitHub Secrets | Semestral |
| Credenciales Neon | Variable de entorno | Cuando se sospeche compromiso |
Prohibiciones:
- Está prohibido escribir credenciales en código fuente o commits
- Está prohibido enviar credenciales por correo no cifrado o chat
- Está prohibido reutilizar credenciales entre ambientes (dev/staging/prod)
8. Gestión de respaldos y recuperación
Detallado en docs/backup-restore.md. Resumen:
- RPO comprometido: 1 hora (Neon PITR)
- RTO comprometido: 4 horas
- Frecuencia backup completo: semanal (domingos 02:00 UTC)
- Retención: 7 años (lifecycle tier-aware: STANDARD_IA → Glacier IR → Deep Archive)
- Drill semestral documentado
9. Gestión de incidentes de seguridad
9.1 Tipos de incidentes
| Tipo | Severidad | Tiempo de respuesta |
|---|---|---|
| Compromiso de credenciales | Crítico | Inmediato (< 1h) |
| Acceso no autorizado a datos | Crítico | Inmediato (< 1h) |
| Caída del servicio (afecta SLA) | Alto | < 1h primera respuesta |
| Bug que expone datos parciales | Alto | < 4h |
| Vulnerabilidad reportada | Medio | < 24h evaluación |
9.2 Procedimiento
- Detección: logs, alertas automáticas, reporte de cliente, hallazgo interno
- Contención: revocar credenciales comprometidas, bloquear IPs, aislar recursos
- Análisis: revisar
audit_logsydgii_webhook_logspara alcance del incidente - Comunicación:
- Clientes afectados: dentro de 72 horas (Ley 172-13 Art. 30)
- DGII: si afecta datos fiscales, notificación inmediata
- Autoridad de Protección de Datos: si aplica
- Remediación: parche, rotación de credenciales, ajuste de políticas
- Documentación: registro del incidente, lecciones aprendidas
10. Acceso de personal
- Cada empleado/contratista firma un acuerdo de confidencialidad antes de acceder a sistemas
- Principio de mínimo privilegio: solo se otorga el acceso estrictamente necesario para la función
- Revocación inmediata de acceso al término de la relación laboral
- No se comparten credenciales entre personas
- Acceso a producción requiere autenticación multifactor (cuando esté implementado)
11. Capacitación
- Onboarding de seguridad obligatorio para nuevos empleados/contratistas
- Refresher anual sobre amenazas comunes (phishing, ingeniería social)
- Comunicación inmediata de cambios en esta Política
12. Cumplimiento y revisión
- Esta Política se revisa anualmente o cuando ocurran cambios significativos
- El incumplimiento puede resultar en medidas disciplinarias hasta terminación del contrato
- DGII podrá requerir evidencia de cumplimiento conforme a la Ley 32-23
13. Contactos
| Asunto | Contacto |
|---|---|
| Reporte de incidentes | info@yisraeltech.com (a configurar) |
| Solicitudes Ley 172-13 | info@yisraeltech.com (a configurar) |
| Soporte general | info@yisraeltech.com |
| Authorized Agent | Alexander Ferreras — info@yisraeltech.com — +1 (829) 359-6602 |
Documento controlado. Cualquier modificación requiere aprobación del Authorized Agent.