En ShenData gestionamos uno de los activos más sensibles de nuestros clientes: sus datos. Esa responsabilidad no es retórica. Está respaldada por decisiones de arquitectura concretas, procesos internos auditables y una cultura organizacional donde la seguridad no es una capa que se agrega al final, sino un principio que atraviesa cada etapa del trabajo.
Este documento describe cómo protegemos los datos que procesamos, tanto los de nuestros propios sistemas como los de los entornos de clientes en los que operamos como consultores.
Seguridad en tránsito
Toda comunicación entre sistemas —ya sea entre el navegador del usuario y nuestros servicios, entre microservicios internos, o entre nuestra infraestructura y la de los clientes— se cifra utilizando TLS 1.3. No admitimos conexiones sin cifrar ni versiones anteriores del protocolo con vulnerabilidades conocidas.
Los certificados digitales se gestionan con renovación automática y son monitoreados continuamente para detectar vencimientos o compromisos. Las claves de API y credenciales de acceso nunca viajan en texto plano: utilizamos gestores de secretos dedicados (HashiCorp Vault o equivalente según el entorno del cliente) y rotación periódica obligatoria.
Seguridad en reposo
Los datos almacenados en nuestros sistemas —bases de datos, data lakes, respaldos y archivos de trabajo— se cifran con AES-256. Esto aplica tanto al almacenamiento primario como a las copias de respaldo, que se realizan con frecuencia diaria, se almacenan en ubicaciones geográficas distintas y se verifican mediante pruebas de restauración periódicas.
El acceso a los datos en reposo está restringido por principios de mínimo privilegio: cada usuario, servicio o proceso accede únicamente a los datos que necesita para su función específica, y no más. Las bases de datos de producción nunca están expuestas directamente a internet.
Control de acceso e identidad
Implementamos un modelo de control de acceso basado en roles (RBAC) con autenticación multifactor (MFA) obligatoria para todos los accesos a sistemas internos y entornos de clientes. Las credenciales personales son intransferibles y se revocan de forma inmediata ante cualquier cambio de rol o salida del equipo.
Para proyectos en entornos cloud, aplicamos los principios de Zero Trust: ningún actor interno o externo es considerado confiable por defecto, y cada solicitud de acceso se verifica, autentifica y registra independientemente de su origen. Los accesos privilegiados (administración de infraestructura, acceso a datos de producción) requieren aprobación explícita y se registran en logs auditables.
Seguridad en el ciclo de desarrollo
La seguridad se incorpora desde la primera línea de código, no como revisión final. Nuestro proceso de desarrollo incluye análisis estático de seguridad (SAST) automatizado en cada pull request, revisión de dependencias con herramientas como Snyk para detectar vulnerabilidades conocidas, y revisiones de código entre pares con foco explícito en consideraciones de seguridad.
Los entornos de desarrollo, staging y producción están estrictamente separados. Los datos reales de clientes nunca se utilizan en entornos de desarrollo o prueba: se trabaja con datos sintéticos o anonimizados generados específicamente para ese propósito.
Realizamos pruebas de penetración (pentesting) al menos una vez al año en nuestra infraestructura principal, y ad hoc al lanzar nuevos productos o arquitecturas significativas. Los hallazgos se clasifican por severidad y se remedian dentro de plazos definidos según su criticidad.
Infraestructura y continuidad operacional
Nuestra infraestructura cloud está configurada mediante código (Infrastructure as Code), lo que garantiza que todos los entornos sean reproducibles, auditables y libres de configuraciones manuales no documentadas. Utilizamos grupos de seguridad de red, firewalls de aplicación web (WAF) y segregación de redes para limitar la superficie de ataque.
Contamos con planes de continuidad del negocio y recuperación ante desastres (BCP/DRP) documentados y probados periódicamente. Los objetivos de tiempo de recuperación (RTO) y punto de recuperación (RPO) se definen por servicio según su criticidad y se comunican a los clientes en los acuerdos de nivel de servicio correspondientes.
Gestión de incidentes
Disponemos de un proceso formal de respuesta a incidentes de seguridad con roles definidos, tiempos de respuesta garantizados y canales de comunicación establecidos. Ante un incidente confirmado o sospechoso, el tiempo máximo de respuesta inicial es de cuatro horas para incidentes críticos.
Notificamos a los clientes afectados de forma proactiva y dentro de los plazos exigidos por la normativa aplicable (72 horas para incidentes cubiertos por GDPR; conforme a la Ley 19.628 para datos en Chile). Cada incidente concluye con un análisis post-mortem documentado y la implementación de medidas correctivas.
Para reportar una vulnerabilidad o incidente de seguridad, escríbenos a seguridad@shendatasolutions.com.
Seguridad organizacional
La seguridad de los datos no depende solo de la tecnología: depende de las personas que la operan. Todo el personal de ShenData completa formación obligatoria en seguridad de la información al incorporarse y de forma anual. Esta formación cubre gestión de contraseñas, reconocimiento de phishing, manejo seguro de información sensible y protocolos ante incidentes.
Todos los consultores que acceden a datos de clientes firman acuerdos de confidencialidad (NDA) y se someten a verificación de antecedentes. El acceso a cada proyecto se limita estrictamente al equipo asignado, y se revoca al cierre del compromiso.
Normativas y certificaciones
Nuestras prácticas de seguridad están alineadas con los principales marcos normativos y estándares internacionales:
- Ley N° 19.628 sobre Protección de la Vida Privada (Chile)
- Reglamento General de Protección de Datos — GDPR (Unión Europea), aplicable a clientes con operaciones en Europa
- ISO/IEC 27001 — actualmente en proceso de certificación formal (estimado Q1 2025)
- SOC 2 Type II — en proceso (estimado Q2 2025)
La documentación técnica detallada de nuestras medidas de seguridad está disponible bajo acuerdo de confidencialidad para procesos de due diligence corporativo. Contacta a tu ejecutivo de cuenta o escribe a seguridad@shendatasolutions.com.