Política Interna de Seguridad y Acceso de FixZone

Fecha de entrada en vigor: 18 de noviembre de 2025

Entidad: Fixzone Inc., corporación de Delaware que opera principalmente en Nueva York

Contacto: info@fixzone.app

Esta Política Interna de Seguridad y Acceso ("Política") regula cómo Fixzone Inc. (FixZone, "nósotros", "nuestro") gestiona el acceso interno a los datos de los usuarios, responde a incidentes de seguridad y aplica controles internos para proteger la información sensible en nuestros sistemas y operaciones. Esta Política aplica a todos los empleados, contratistas, desarrolladores, socios y personal autorizado de FixZone.

1. Propósito de esta Política

Esta Política tiene como objetivo:

• Proteger los datos de los usuarios
• Restringir y monitorear el acceso interno
• Definir procedimientos de respuesta a incidentes
• Mantener responsabilidad y trazabilidad en los sistemas
• Mitigar riesgos de accesos no autorizados
• Garantizar el cumplimiento de las leyes de seguridad de EE. UU.

2. Clasificación de datos

2.1 Datos públicos

  • Contenido de marketing
  • Recursos públicos

2.2 Datos internos

  • Procedimientos operativos
  • Analítica no sensible

2.3 Datos sensibles

  • Información de contacto de usuarios
  • Detalles de trabajos
  • Documentos de Proveedores

2.4 Datos altamente sensibles

  • Verificación de identidad
  • Datos de GPS / direcciones
  • Licencias y seguros
  • Registros de fraude
  • Tokens de Stripe
  • Logs internos de IP y acceso

El acceso a esta categoría está extremadamente restringido.

3. Controles internos de acceso

3.1 Acceso basado en roles (RBAC)

El acceso se concede estrictamente siguiendo el principio de mínimo privilegio. Los roles incluyen Soporte, Desarrollador, Fraude y Seguridad, y Administrador.

3.2 Requisitos de autenticación

  • Contraseñas robustas
  • Autenticación multifactor (MFA)
  • Dispositivos seguros
  • Conexiones cifradas
  • Renovación periódica de credenciales

3.3 Registro y monitoreo

  • Todo acceso se registra con marca de tiempo
  • Registros completamente auditables
  • Monitoreo en tiempo real
  • Accesos no autorizados generan alertas

3.4 Restricciones a desarrolladores

  • Sin acceso a producción salvo autorización explícita
  • Uso por defecto de datos anonimizados o sandbox
  • Acceso temporal solo cuando sea requerido
  • Todas las sesiones deben documentarse

3.5 Contratistas externos

  • Acuerdo de confidencialidad obligatorio
  • Acceso limitado y con tiempo definido
  • Acceso sujeto a aprobación previa
  • Las violaciones implican revocación inmediata

4. Definición de incidente de seguridad

Un incidente de seguridad incluye cualquier acceso no autorizado, comportamiento interno sospechoso, pérdida de credenciales, detección de malware, intento de toma de control de cuentas o violaciones de esta Política.

5. Procedimiento de respuesta a incidentes

5.1 Identificación

Los incidentes se detectan mediante alertas, reportes internos o monitoreo continuo.

5.2 Contención

  • Deshabilitar cuentas afectadas
  • Bloquear IPs
  • Aislar sistemas
  • Revocar tokens de acceso

5.3 Investigación

El equipo de seguridad determina la naturaleza del incidente, sistemas afectados, datos accedidos y causa raíz. Se puede involucrar soporte forense externo si es necesario.

5.4 Notificación interna

La dirección y liderazgo son notificados inmediatamente en incidentes de alto riesgo.

5.5 Remediación

  • Corrección de código
  • Actualización de políticas
  • Aplicación de parches de seguridad
  • Revisión de accesos
  • Reseteo de contraseñas

5.6 Notificación a usuarios (si aplica)

FixZone notificará a los usuarios cuando sea requerido por la NY SHIELD Act, reglas de la FTC y leyes estatales aplicables.

6. Auditoría y revisión interna

  • Auditorías de acceso trimestrales
  • Revisiones de seguridad semestrales
  • Pruebas de penetración anuales
  • Informes post-mortem para incidentes relevantes

7. Reglas de manejo de datos

  • Acceder solo a los datos necesarios
  • No guardar datos en dispositivos personales
  • Usar únicamente herramientas aprobadas
  • No compartir credenciales
  • Reportar actividad sospechosa de inmediato

8. Violaciones y medidas disciplinarias

  • Remoción inmediata de acceso
  • Terminación de la relación laboral o contractual
  • Acciones legales
  • Responsabilidad civil
  • Referencia a autoridades competentes

9. Protección de datos de dirección y GPS

Esta categoría tiene el nivel más alto de restricción. Solo el equipo de Fraude y Seguridad, ingenieros senior y administradores de sistemas pueden acceder a ella, y solo para:

  • Investigación de fraude
  • Casos de seguridad
  • Resolución de disputas
  • Depuración técnica (solo en casos raros y documentados)

El acceso no autorizado implica despido inmediato.

10. Restricciones sobre exportación de datos

El personal interno NO puede exportar ni almacenar datos de usuarios fuera de los sistemas de FixZone.

  • No descargar conjuntos de datos
  • No enviar datos sin cifrar por correo electrónico
  • No guardar datos en dispositivos personales

Cualquier exportación permitida requiere cifrado, documentación y aprobación de liderazgo.

11. Reglas de retención y eliminación de datos

El personal interno debe seguir la Política de Seguridad y Retención de Datos principal de FixZone. Se prohíbe estrictamente la eliminación o retención no autorizada de datos.

12. Cambios en esta Política

FixZone puede actualizar esta Política en cualquier momento. La participación o trabajo continuo con la compañía implica la aceptación de la Política actualizada.

13. Contacto

📩 info@fixzone.app