🛡️ SEGURIDAD · CONFIDENCIALIDAD · CUMPLIMIENTO
← Volver al inicio

Política de Seguridad y Confidencialidad del Cliente

En HSintaxis S.A.S. la seguridad no es un “extra”: es el sistema operativo. Operamos bajo enfoque Zero Trust (verificar siempre, confiar nunca), con controles estrictos para proteger datos, procesos y plataformas del cliente.

🏢 HSintaxis S.A.S. · NIT 901968457-5
📄 Versión 1.0
📆 Vigencia: 10 de julio de 2026
🚫 Cero tolerancia a fuga
PRINCIPIO
Acceso mínimo necesario (Least Privilege) + trazabilidad total.
CONTROL
MFA obligatorio, DLP y auditoría continua en plataformas.
EVIDENCIA
Cada acción relevante debe quedar registrada, auditable y justificable.

1. Compromiso Institucional

📌 “Seguridad primero”

HSintaxis S.A.S. asume con absoluta seriedad y responsabilidad el deber de proteger los datos, procesos y sistemas de sus clientes. Todo colaborador, proveedor o tercero con acceso a información del cliente está sujeto a medidas legales, técnicas y disciplinarias estrictas.

Nuestra operación se rige por controles equivalentes a entornos corporativos exigentes: identidad fuerte, acceso controlado, cifrado, auditoría y respuesta a incidentes.

2. Principios de Seguridad

🔐 CIA (Confidencialidad · Integridad · Disponibilidad)
  1. Confidencialidad total: la información del cliente solo se consulta y procesa por personal autorizado, bajo necesidad demostrable.
  2. Integridad: se evita alteración no autorizada; los cambios relevantes quedan documentados, aprobados y con evidencia.
  3. Disponibilidad: acceso únicamente para usuarios autorizados, con mecanismos seguros, respaldo y control de continuidad.

Aplicamos Zero Trust: autenticación fuerte, autorización explícita, monitoreo continuo y minimización de superficie de ataque.

3. Prohibiciones y Medidas de Control (Obligatorias)

🚫 Prohibiciones críticas
  1. Prohibido almacenar datos del cliente en equipos locales, USB, discos externos o nubes personales.
  2. La operación se ejecuta solo en nubes autorizadas: Microsoft 365, SharePoint, OneDrive empresarial, Azure y repositorios aprobados por el cliente.
  3. Prohibido mantener sesiones desbloqueadas: se exige bloqueo automático y manual al ausentarse.
  4. Prohibido exponer pantallas a terceros no autorizados; se requiere entorno de trabajo controlado.
  5. Prohibido descargar, copiar o enviar archivos sin trazabilidad y sin notificación: toda acción debe quedar registrada.
  6. Prohibido usar correos personales, WhatsApp personal o dispositivos no administrados para tratar datos del cliente.
  7. Prohibido imprimir información del cliente o fotografiar pantallas.

Cualquier excepción debe estar autorizada por escrito por el cliente y registrada como caso controlado.

4. Supervisión, Auditoría y Trazabilidad

🧾 “Sin registro, no pasó”

HSintaxis mantiene controles de supervisión y auditoría para asegurar cumplimiento: registros de actividad, control de acceso, auditoría de plataformas y evidencia operativa cuando aplique.

El acceso no autorizado, manipulación indebida o fuga de información constituye causal de acciones disciplinarias y legales, incluyendo:

  • Terminación inmediata del vínculo contractual o laboral (cuando aplique).
  • Sanciones contractuales pactadas (cuando aplique).
  • Denuncia ante autoridades competentes conforme a la legislación aplicable, incluyendo el Art. 269F del Código Penal Colombiano (cuando corresponda).

5. Infraestructura y Controles Técnicos

🧠 Identidad · DLP · Cifrado · Auditoría

Nuestra operación se apoya en tecnologías Microsoft y prácticas de seguridad modernas, incluyendo (según alcance del proyecto):

  • Microsoft Defender for Endpoint
  • Azure Information Protection / Sensitivity Labels
  • Microsoft Purview (auditoría, cumplimiento, DLP y gobernanza)
  • OneDrive y SharePoint con MFA y permisos por rol
  • Power Platform con RBAC, entornos controlados y políticas DLP

Controles mínimos esperados: MFA, cifrado en tránsito, cifrado en reposo, logs y retención conforme a política.

6. Gestión de Accesos (Zero Trust)

🔑 Acceso mínimo necesario
  1. MFA obligatorio para cuentas y accesos a plataformas del cliente.
  2. Least Privilege: permisos mínimos por rol; nada de “admin porque sí”.
  3. Acceso temporal para tareas específicas (just-in-time) cuando aplique.
  4. Revisión periódica de permisos y revocación inmediata al finalizar el proyecto o ante cambios de rol.
  5. Credenciales: prohibido compartir cuentas; cada acceso debe ser individual y trazable.

7. Manejo de Datos y Clasificación

🗂️ Clasificar · Proteger · Registrar

La información del cliente se trata como confidencial por defecto. Se recomienda clasificarla (según cliente) como: Pública, Interna, Confidencial o Restringida.

  • Restringida/Confidencial: solo acceso por roles autorizados, con cifrado y DLP.
  • Transferencias: únicamente por canales aprobados (SharePoint/OneDrive/Teams/Azure, o lo definido por el cliente).
  • Copias: prohibidas fuera de entornos controlados; backups y exportaciones solo si están aprobadas.

8. Desarrollo Seguro (Power Platform + Python/IA/RPA)

🧩 SDLC · Control de cambios
  1. Gestión de secretos: claves y tokens nunca se dejan “en duro” en el código.
  2. Control de cambios: toda modificación relevante debe estar documentada y aprobada.
  3. Conectores y permisos: se limitan a lo estrictamente necesario; DLP para bloquear conectores no permitidos.
  4. ALM: soluciones empaquetadas, entornos separados (Dev/Test/Prod) cuando aplique.
  5. Auditoría: logs de Power Platform y acciones críticas habilitados según alcance.

9. Respuesta a Incidentes y Notificación

🚨 Incidente = protocolo inmediato

Ante sospecha de incidente (fuga, acceso indebido, malware, pérdida de dispositivo, credenciales comprometidas), se activa un protocolo inmediato:

  1. Contención: bloqueo de acceso, revocación de sesiones, rotación de credenciales.
  2. Preservación de evidencia: se conservan logs y trazas para análisis.
  3. Notificación: se informa al cliente por el canal definido, con hallazgos iniciales y acciones ejecutadas.
  4. Corrección: remediación, endurecimiento, y plan preventivo para evitar recurrencia.

10. Normatividad Aplicable

⚖️ Cumplimiento
  1. Ley 1581 de 2012 (Protección de Datos Personales)
  2. Decreto 1377 de 2013 (Reglamentación Habeas Data)
  3. Ley 1266 de 2008 (Habeas Data Financiero, cuando aplique)
  4. Ley 1273 de 2009 (Delitos Informáticos)
  5. ISO 27001 (buenas prácticas y marco de referencia)
  6. Estándares GDPR cuando aplique (por naturaleza del tratamiento y jurisdicción)

11. Controles Mínimos Obligatorios (Checklist)

✅ “Si falta uno, se corrige”

Para operar con información del cliente, se exige como base:

✅ MFA + cuentas individuales
Sin MFA no hay acceso. Sin cuentas individuales no hay trazabilidad.
✅ DLP + conectores permitidos
Se bloquea salida de datos por canales no autorizados.
✅ Permisos por rol (RBAC)
Acceso mínimo necesario. Revisiones y revocación por cambios de rol.
✅ Cifrado en tránsito y reposo
Datos protegidos en comunicación y almacenamiento.
✅ Auditoría y logs
Registro de acciones críticas para evidencia, control y mejora.
✅ Control de cambios
Cambios documentados, aprobados y verificables. Nada “por debajo de cuerda”.

12. Canales de Denuncia y Soporte

📮 Reporte inmediato

Cualquier situación sospechosa o incidente debe ser reportado de inmediato por los canales autorizados:

Línea directa: +57 333 255 5000

13. Vigencia y Actualizaciones

📌 Control de versiones

Esta política rige desde el 10 de julio de 2025. HSintaxis S.A.S. podrá modificarla en cualquier momento para fortalecer controles o ajustarse a cambios normativos, informando oportunamente a clientes y partes interesadas.

HSintaxis S.A.S. — Transformando empresas con tecnología y máxima seguridad informática.

Convierte días en horas y horas en minutos

¡AGENDA TU DEMO GRATIS!
📅 AGENDA TU PLANTILLA GRATIS