Mayordía
EmpezarMi iglesiaPlataforma
Centro legal

Documento legal

Política de Seguridad de la Información

Cómo protegemos los datos de tu iglesia a nivel técnico y organizativo.

Vigente desde 23 de abril de 2026·Versión v1.0.0·5 secciones

1. Enfoque#

Nuestro programa de seguridad se basa en el marco ISO/IEC 27001 y los principios del GDPR Art. 32: confidencialidad, integridad, disponibilidad y resiliencia. Revisamos controles trimestralmente y ante cambios significativos de arquitectura.

2. Controles técnicos#

  • Cifrado en tránsito: TLS 1.3 obligatorio, HSTS con preload, HTTP/3 habilitado.
  • Cifrado en reposo: AES-256 a nivel de base de datos y respaldos (Supabase/AWS).
  • Contraseñas: bcrypt con factor 12+. Nunca almacenamos texto claro.
  • Tokens: JWT firmados, rotación periódica, revocación inmediata al cierre de sesión.
  • Autenticación multifactor: biometría, passkeys (WebAuthn), magic links para recuperación.
  • Aislamiento multi-tenant: Row Level Security (RLS) en base de datos y filtrado explícito en backend.
  • Rate limiting: login, API y operaciones sensibles.
  • Monitoreo: alertas 24/7 sobre patrones anómalos, geolocalización inusual, accesos masivos.
  • Backups: diarios, cifrados, con rotación de 90 días y prueba mensual de restauración.

3. Controles organizativos#

  • Mínimo privilegio: el personal solo accede a datos de clientes bajo ticket aprobado, con trazabilidad completa.
  • Acuerdos de confidencialidad con todo el personal y proveedores.
  • Capacitación obligatoria de seguridad y privacidad al ingresar y anualmente.
  • Gestión de vulnerabilidades: escaneos automáticos, parches de severidad crítica en 48h.
  • Segregación de ambientes (producción, staging, desarrollo).

4. Respuesta a incidentes#

Si detectamos o recibimos reporte de un incidente que pueda afectar datos personales:

  • Contenemos el incidente y preservamos evidencias.
  • Notificamos a la Autoridad Nacional de Protección de Datos Personales del Perú en el plazo exigido y a la autoridad competente del usuario (AEPD, CNIL, etc.) cuando aplique GDPR — máximo 72 horas desde la detección.
  • Notificamos directamente a los usuarios afectados cuando el riesgo sea alto, con descripción del incidente, datos comprometidos y pasos de mitigación.
  • Realizamos análisis post-mortem y publicamos resumen cuando sea relevante.

Reporta vulnerabilidades de seguridad a security@mayordia.com. Acusamos recibo en 24h. Operamos un programa de reconocimiento a investigadores de seguridad responsables.

5. Selección de proveedores#

Solo contratamos proveedores con certificaciones reconocidas (SOC 2 Type II, ISO 27001 o equivalentes) y capacidad de firmar un DPA (Data Processing Agreement). Revisamos su postura de seguridad al contratar y anualmente.