POLÍTICA DE SEGURIDAD DE DATOS DE MONETIA
Última actualización: Mayo 2026
•INTRODUCCIÓN Y COMPROMISO DE SEGURIDAD
Monetia implementa medidas técnicas y organizativas para proteger información personal y financiera de usuarios. Esta Política describe:
\*\*Sin embargo, ningún sistema es 100% seguro. Ver Limitaciones de Seguridad más adelante.\*\*
•MEDIDAS DE SEGURIDAD TÉCNICAS
A. Encriptación en Tránsito
•Encriptación TLS 1.3+ para todas las comunicaciones
•Certificados SSL/TLS gestionados por autoridades de certificación confiables
•Perfect Forward Secrecy (PFS) para sesiones de larga duración
•Validación de certificados en cliente y servidor
B. Encriptación en Reposo
•Encriptación AES-256 para datos almacenados en bases de datos
•Encriptación de datos de copia de seguridad
•Encriptación de archivos de logs sensibles
•Gestión de claves separadas de datos
C. Gestión de Contraseñas
•Contraseñas se hashean con bcrypt (factor de costo ≥12)
•No se almacenan contraseñas en texto plano
•Derivación de clave (PBKDF2) para tokens de sesión
•Salts criptográficos únicos por usuario
D. Autenticación y Autorización
•Autenticación multifactor (MFA) disponible
•Control de acceso basado en roles (RBAC)
•Gestión de sesiones con timeouts
•Validación de tokens en cada solicitud
E. Comunicación WhatsApp
•End-to-end encryption manejado por Meta/WhatsApp
•Monetia no tiene acceso a encriptación WhatsApp
•Acceso a mensajes solo a través de API autorizada de Meta
•Logs de acceso a API auditados
•MEDIDAS DE SEGURIDAD ORGANIZATIVAS
A. Gestión de Acceso
•Principio de privilegio mínimo para personal
•Control de acceso a datos sensitivos limitado a personal autorizado
•Registro de auditoría de acceso a datos
•Revocación rápida de acceso para empleados que se van
B. Capacitación de Seguridad
•Entrenamiento obligatorio de seguridad para todo personal
•Entrenamiento específico en manejo de datos personales
•Actualizaciones de entrenamiento anuales
•Pruebas de conciencia de seguridad
C. Documentación de Políticas
•Políticas de seguridad documentadas
•Procedimientos de respuesta a incidentes documentados
•Procedimientos de gestión de cambios
•Acuerdos de confidencialidad con empleados y contratistas
D. Evaluaciones de Riesgo
•Evaluaciones periódicas de riesgos de seguridad
•Análisis de amenazas
•Evaluaciones de vulnerabilidades
•Pruebas de penetración por terceros independientes
•INFRAESTRUCTURA Y ARQUITECTURA DE SEGURIDAD
A. Infraestructura de Hosting
•Infraestructura alojada en Supabase (PostgreSQL administrado)
•Centros de datos con controles físicos de seguridad
•Redundancia geográfica para resiliencia
•Backups diarios con pruebas de restauración
B. Separación de Redes
•Firewalls configurados para permitir solo tráfico necesario
•Segmentación de red entre sistemas
•VPNs para acceso administrativo remoto
•Sistemas de detección de intrusiones (IDS)
C. Gestión de Dependencias
•Actualización regular de bibliotecas de seguridad
•Monitoreo de vulnerabilidades conocidas
•Parches de seguridad aplicados promptamente
•Verificación de integridad de dependencias
D. Monitoreo y Alertas
•Monitoreo continuo de sistemas
•Alertas automatizadas para eventos de seguridad
•Logs centralizados con retención de 90 días
•Análisis de logs para actividad sospechosa
•GESTIÓN DE DATOS SENSIBLES
A. Clasificación de Datos
•Datos públicos: información no personal
•Datos internos: información de operación
•Datos confidenciales: información personal no financiera
•Datos muy confidenciales: datos financieros y de crédito
B. Manejo de Datos Financieros
•PCI DSS compliance para procesamiento de pagos (a través de Stripe)
•Stripe maneja almacenamiento seguro de números de tarjeta
•Monetia no almacena números de tarjeta completos
•Tokens de pago encriptados si se almacenan
C. Manejo de Información de Identificación Personal (PII)
•PII almacenado solo cuando es necesario
•Encriptación de campos PII en base de datos
•Acceso limitado a personal autorizado
•Retención según períodos requeridos por ley
D. Anonimización de Datos
•Datos anonimizados para análisis y mejoramiento de IA
•Datos que no pueden ser vinculados a individuos
•Removido PII para entrenamiento de modelos
•Cumplimiento de GDPR para "derecho al olvido"
•TERCEROS Y PROCESADORES DE DATOS
A. Proveedores de Servicios
Confiamos en los siguientes terceros bajo acuerdos de procesamiento de datos:
B. Acuerdos de Procesamiento de Datos
•Data Processing Agreements (DPA) con todos los procesadores
•Clausulas de Protección de Datos en contratos
•Standard Contractual Clauses (SCCs) para transferencias internacionales
•Auditoría de cumplimiento de proveedores
C. Responsabilidades de Terceros
•Terceros deben implementar medidas de seguridad equivalentes
•Terceros no pueden procesar datos para sus propios propósitos
•Terceros deben notificar brechas de datos
•Terceros están sujetos a cláusulas de indemnización
•DETECCIÓN Y RESPUESTA A VULNERABILIDADES
A. Pruebas de Seguridad
•Pruebas de penetración regulares
•Análisis de vulnerabilidades automatizado
•Análisis de código fuente para vulnerabilidades
•Pruebas de seguridad de API
B. Responsabilidad Divulgada
•Programa de divulgación responsable de vulnerabilidades
•Contacto para reportar vulnerabilidades: security@monetia.io
•Reconocimiento de investigadores de seguridad
•Tiempo de respuesta de 48 horas para reportes críticos
C. Gestión de Parches
•Parches de seguridad críticos aplicados dentro de 24-48 horas
•Parches importantes dentro de 1-2 semanas
•Parches menores dentro de 30 días
•Notificación a usuarios de cambios de seguridad críticos
•INCIDENTES DE SEGURIDAD Y BRECHAS DE DATOS
A. Definición de Incidente
Un incidente de seguridad es:
•Acceso no autorizado a datos
•Divulgación no autorizada de información
•Modificación no autorizada de datos
•Pérdida o corrupción de datos
•Interrupción de disponibilidad de servicios
B. Procedimiento de Respuesta a Incidentes
•Detección y Alertas
• \- Monitoreo continuo para actividad sospechosa
• \- Alertas automatizadas de eventos de seguridad
• \- Verificación manual de alertas positivas
C. Notificación de Brechas de Datos
•Usuarios notificados sin demora injustificada si hay riesgo alto
•Descripción clara de naturaleza de la brecha
•Datos específicamente comprometidos
•Pasos que tomamos y acciones recomendadas
•Contacto para preguntas: privacy@monetia.io
D. Reportes de Incidentes
•Incidentes mayores documentados en reportes de seguridad
•Disponibles para auditoría reguladora
•Retención de 5 años de registros de incidentes
•AUDITORÍAS Y CUMPLIMIENTO
A. Auditorías Internas
•Auditorías de seguridad anuales
•Revisiones de cambios de seguridad
•Pruebas de respuesta a incidentes
•Análisis de logs de acceso
B. Auditorías Externas
•Auditorías de penetración anuales por terceros
•Evaluaciones SOC 2 Type II (en progreso)
•Certificación ISO 27001 (en progreso)
•Auditorías regulatorias según requerimientos
C. Cumplimiento Regulatorio
GDPR (Unión Europea):
•Evaluaciones de Impacto de Privacidad (DPIA) para alto riesgo
•Oficial de Protección de Datos (DPO) designado
•Cumplimiento de derechos de sujetos de datos
•Notificación de brechas dentro de 72 horas
CCPA (California):
•Aviso de privacidad completo
•Respuesta a solicitudes de consumidores
•Verificación de solicitudes
•Reportes anuales de divulgación de datos
LGPD (Brasil):
•Designación de oficial de dados personales
•Notificación a ANPD de brechas
•Consentimiento documentado
•Registro de operaciones de procesamiento
•SEGURIDAD DE DATOS EN TRÁNSITO
A. API de WhatsApp
•Comunicación con servidores de Meta sobre HTTPS
•Validación de certificados
•Rate limiting para prevenir abuso
•Logging de acceso a API
B. Comunicaciones de Usuario
•Mensajes encriptados entre usuario y servidor
•Encriptación WhatsApp end-to-end manejada por Meta
•Sin acceso de Monetia a contenido de mensajes antes de encriptación
C. Transferencias de Datos
•Transferencias de datos internacional bajo SCCs
•Cumplimiento de GDPR Capítulo V para transferencias
•Evaluaciones de impacto antes de transferencias
•SEGURIDAD DE DATOS EN REPOSO
A. Base de Datos Supabase
•Encriptación a nivel de columna para datos sensibles
•Snapshots encriptadas
•Acceso restringido a credenciales de base de datos
•Auditoría de cambios de esquema
B. Backups y Copias de Seguridad
•Backups automáticos diarios
•Retención de backups de 90 días
•Encriptación de copias de seguridad
•Pruebas regulares de restauración
C. Eliminación Segura de Datos
•Sobreescritura criptográfica para datos eliminados
•Limpieza de memoria de secretos
•Destrucción segura de dispositivos de almacenamiento
•Certificación de destrucción de datos
•SEGURIDAD DE CUENTA DE USUARIO
A. Gestión de Contraseñas de Usuario
•Requisitos mínimos de contraseña: 8 caracteres
•No se requieren caracteres especiales (usabilidad)
•Validación de fortaleza de contraseña
•Sin limpieza de historiales (prevención de reutilización)
B. Recuperación de Cuenta
•Verificación de correo electrónico para recuperación
•Código de verificación de 6 dígitos por tiempo limitado
•Sin preguntas de seguridad (evitar vulnerabilidades conocidas)
•Re-autenticación requerida para cambios sensibles
C. Detección de Abuso de Cuenta
•Detección de login desde ubicaciones inusuales
•Alertas de actividad sospechosa
•Bloqueo de cuenta para actividad altamente sospechosa
•Contacto de usuario para verificación
•SEGURIDAD DE DATOS DE TERCEROS
A. Acceso de Administrador a Datos
•Acceso muy limitado a datos de usuario
•Razones documentadas para acceso excepcional
•Auditoría de logs de acceso
•Revisión de acceso trimestral
B. Contratistas y Socios
•Acuerdos de confidencialidad requeridos
•Análisis de seguridad antes de otorgar acceso
•Acceso limitado a datos necesarios para función
•Terminación de acceso cuando no sea necesario
C. Cumplimiento de Terceros
•Requisito de estándares de seguridad equivalentes
•Derechos de auditoría contractuales
•Notificación de brechas por terceros
•Indemnización por brechas causadas por terceros
•LIMITACIONES DE SEGURIDAD
Monetia reconoce las siguientes limitaciones:
A. Ningún Sistema es 100% Seguro
•El riesgo cero no es alcanzable
•Nuevas vulnerabilidades pueden descubrirse
•Amenazas evolucionan constantemente
•Controles pueden fallar bajo circunstancias extremas
B. Riesgos Residuales
•Insider threats (empleados maliciosos)
•Zero-day vulnerabilities (desconocidas)
•Ataques sofisticados de actores estatales
•Desastres naturales o eventos catastróficos
C. Responsabilidad del Usuario
•Mantener contraseñas confidenciales
•No compartir acceso de cuenta
•Reportar acceso no autorizado
•Cambiar contraseñas si se sospecha compromiso
•POLÍTICA DE DIVULGACIÓN DE VULNERABILIDADES
Si descubre una vulnerabilidad de seguridad:
•DERECHOS Y EXPECTATIVAS DE PRIVACIDAD
A. Sus Datos Son Suyos
•Usted retiene propiedad de sus datos
•Monetia actúa como custodio
•Puede solicitar acceso, copia, o eliminación
B. Ejercicio de Derechos
•Contacte: privacy@monetia.io
•Respuesta dentro de 30 días (GDPR: 72h confirmación)
•Sin cargos por primera solicitud
•Verificación de identidad requerida
C. Seguridad No Significa Privacidad
•Datos pueden ser seguros pero aún usados de formas que no espera
•Ver Política de Privacidad para detalles de uso
•Seguridad no es garantía de confidencialidad
•CONTACTO Y REPORTES
Para preguntas sobre seguridad:
\*\*Seguridad/Vulnerabilidades:\*\* security@monetia.io
\*\*Privacidad:\*\* privacy@monetia.io
\*\*Brechas de Datos:\*\* privacy@monetia.io
\*\*Soporte General:\*\* support@monetia.io
\*\*Legal:\*\* legal@monetia.io
•ACTUALIZACIONES A ESTA POLÍTICA
Esta Política puede ser actualizada:
•Sin previo aviso para cambios menores
•Con 30 días de aviso para cambios sustanciales
•El uso continuado implica aceptación
Revise periódicamente para cambios.