Política de Seguridad de la Información — TitanPOS

📅 Última actualización: 4 de marzo de 2026

1. Objetivo

La presente Política de Seguridad de la Información tiene como objetivo establecer los lineamientos, controles y medidas técnicas y organizativas que SASF SYSTEM EIRL (RNC 133372371) implementa para proteger la confidencialidad, integridad y disponibilidad de la información procesada a través del sistema TitanPOS, en cumplimiento con las normativas vigentes de la DGII y las mejores prácticas de la industria.

2. Alcance

Esta política aplica a:

Toda la infraestructura tecnológica utilizada para la operación de TitanPOS.
Los datos de los contribuyentes (clientes) que utilizan el sistema.
Los Comprobantes Fiscales Electrónicos (e-CF) emitidos, recibidos y almacenados.
Los certificados digitales (.p12) custodiados por la Empresa.
Todo el personal que accede o administra los sistemas.
Las comunicaciones con los servicios web de la DGII y entre contribuyentes.

3. Principios de Seguridad

Confidencialidad: La información es accesible únicamente por personal y sistemas autorizados.
Integridad: La información se mantiene exacta y completa, protegida contra modificaciones no autorizadas.
Disponibilidad: Los sistemas y datos están disponibles cuando se necesitan, con niveles de servicio apropiados.
Trazabilidad: Todas las operaciones quedan registradas para auditoría.
No repudio: Las operaciones firmadas digitalmente no pueden ser negadas por sus autores.

4. Controles de Acceso

4.1 Autenticación

Autenticación basada en credenciales cifradas (bcrypt con salt).
Tokens de sesión JWT con expiración configurable.
Bloqueo de cuenta temporal tras intentos fallidos de inicio de sesión.

4.2 Autorización

Control de acceso basado en roles (RBAC): Administrador, Cajero, Supervisor.
Principio de mínimo privilegio: cada rol accede solo a las funciones necesarias.
Separación de funciones para operaciones críticas de facturación electrónica.

4.3 Gestión de Certificados Digitales

Los certificados .p12 son almacenados con cifrado AES-256.
Las contraseñas de los certificados se almacenan como variables de entorno, nunca en código fuente.
Acceso al certificado limitado exclusivamente al módulo de firmado.
Monitoreo de expiración de certificados con alertas anticipadas.

5. Seguridad en las Comunicaciones

Todas las comunicaciones se realizan sobre protocolo HTTPS (TLS 1.2 o superior).
Los e-CF y documentos asociados son firmados digitalmente con SHA-256 antes de ser transmitidos.
La autenticación con los servicios de la DGII se realiza mediante el protocolo de semilla firmada y tokens Bearer (RFC 6750).
Las comunicaciones entre contribuyentes (emisor-receptor) siguen el estándar definido por la DGII.

6. Seguridad de la Infraestructura

Servidores protegidos con firewall y reglas de acceso restrictivas.
Sistema operativo y software actualizados con los últimos parches de seguridad.
Monitoreo continuo de la disponibilidad de los servicios.
Aislamiento de la base de datos con acceso restringido por IP.
Puertos de red limitados exclusivamente a los necesarios para la operación (HTTP/HTTPS).

7. Bitácora de Eventos (Logs)

El sistema mantiene un registro detallado de los siguientes eventos:

Inicio y cierre de sesiones de usuario.
Emisión, firma y envío de cada e-CF.
Respuestas recibidas de la DGII (TrackId, estado de validación).
Recepción de e-CF de otros contribuyentes.
Aprobaciones y rechazos comerciales.
Anulación de secuencias e-NCF.
Declaración y salida de estados de contingencia.
Errores y excepciones del sistema.
Modificaciones a la configuración de seguridad.

Los logs se conservan por un mínimo de 5 años y son protegidos contra alteración.

8. Respaldo y Recuperación

8.1 Política de Respaldos

Respaldo completo: Diario, ejecutado en horario de baja actividad.
Respaldo diferencial: Cada 6 horas durante el horario operativo.
Almacenamiento: Los respaldos se almacenan en ubicación física separada del servidor principal.
Retención: Los respaldos diarios se conservan por 30 días; los mensuales por 12 meses.

8.2 Plan de Recuperación

RTO (Tiempo de Recuperación Objetivo): Máximo 4 horas.
RPO (Punto de Recuperación Objetivo): Máximo 6 horas (pérdida de datos aceptable).
Procedimientos documentados de restauración probados periódicamente.

9. Gestión de Contingencia de Facturación Electrónica

Conforme al instructivo de contingencia de la DGII:

Contingencia por falta de conectividad: Los e-CF se generan y almacenan localmente, para ser enviados al restablecerse la conexión (máximo 72 horas).
Contingencia total: Se activa el modo de facturación no electrónica (serie B) con notificación a la DGII vía Oficina Virtual (máximo 15 días).
Post-contingencia: Los e-CF de reemplazo se envían a la DGII en un máximo de 30 días.
Todo evento de contingencia queda registrado en la bitácora.

10. Gestión de Incidentes de Seguridad

Ante un incidente de seguridad se procede de la siguiente manera:

Detección: Identificación del incidente a través del monitoreo y logs.
Contención: Acciones inmediatas para limitar el impacto.
Investigación: Análisis de la causa raíz y alcance del incidente.
Remediación: Corrección de la vulnerabilidad o falla.
Notificación: Comunicación a los afectados y autoridades si aplica (conforme a Ley 172-13).
Documentación: Registro completo del incidente y lecciones aprendidas.

11. Capacitación y Concientización

El personal con acceso a los sistemas recibe orientación regular sobre:

Buenas prácticas de seguridad de la información.
Manejo seguro de certificados digitales.
Identificación de intentos de ingeniería social y phishing.
Procedimientos de contingencia.

12. Revisión y Actualización

Esta política es revisada al menos una vez al año o cuando ocurran cambios significativos en la infraestructura, normativa vigente o cuando se detecten nuevas amenazas de seguridad.

13. Contacto

Para reportar incidentes de seguridad o consultas relacionadas:

Responsable de Seguridad: Samuel Alexander Soto Franco
Correo: samuel.soto1908@gmail.com
Teléfono: (829) 901-1768

Política de Seguridadde la Información