Política de Seguridad de la Información

Poleras Libres

Esta política establece los principios, roles y controles mínimos para proteger la información, los sistemas y a nuestros clientes en poleraslibres.cl y canales asociados (correo y WhatsApp Business con Manychat). Aplica a todo el personal interno y a terceros que operen para Poleras Libres.

1) Objetivo y alcance

  • Objetivo: garantizar la confidencialidad, integridad y disponibilidad de la información y servicios.
  • Alcance: sitio web poleraslibres.cl (WordPress + Divi, Hostinger), herramientas de analítica (GA4, Meta Pixel), automatización (Manychat/WhatsApp), logística (Chilexpress/Starken/Bluex) y dispositivos utilizados para operar el negocio.
  • Leyes y políticas internas: cumplimiento de normativas aplicables y alineamiento con nuestra Política de Privacidad y Política de Cookies.

2) Gobierno, roles y responsabilidades

  • Responsable de Seguridad (RSI): el/la propietario(a) de Poleras Libres. Define, mantiene y audita esta política.
  • Administrador/a Web: gestiona WordPress/Divi/Hostinger, parches y backups.
  • Atención al Cliente: opera WhatsApp y correo según reglas de seguridad y privacidad.
  • Terceros/Proveedores: deben cumplir controles equivalentes y usar los datos solo para fines contratados.

3) Clasificación de la información

  • Pública: contenidos del sitio y redes sociales.
  • Interna: configuraciones, procesos, documentación operativa.
  • Confidencial (PII): email/WhatsApp/orden y cualquier dato que identifique a una persona.
  • Sensible: datos financieros completos, documentos de identidad, salud. No se solicitan ni almacenan por nuestros canales.

Reglas: mínimos privilegios, necesidad de saber, cifrado en tránsito (HTTPS) y cuidado especial con la Confidencial; datos Sensibles están prohibidos en WhatsApp/correo.

4) Gestión de riesgos

  • Evaluación de riesgos anual o ante cambios mayores (nuevo plugin, BSP, integración).
  • Registro de riesgos con probabilidad/impacto, controles aplicados y plan de tratamiento.

5) Control de accesos

  • Cuentas personales y únicas; prohibido compartir usuarios.
  • 2FA obligatorio en: WordPress/Hostinger/Google/Meta/Manychat.
  • Contraseñas robustas (≥12 caracteres, gestor de contraseñas).
  • Revisiones de acceso trimestrales; baja inmediata al finalizar funciones.
  • En WordPress: deshabilitar usuario “admin”, rol mínimo necesario, editor de archivos desactivado.

6) Protección técnica (cifrado, red, servidor)

  • Tráfico cifrado con HTTPS/TLS 1.2+.
  • Cifrado en reposo bajo controles del proveedor (Hostinger/Google/Meta).
  • WAF/Firewall de aplicación (Cloudflare o WAF del hosting) y rate-limiting.
  • Deshabilitar/limitar xmlrpc, login intent limit, reCAPTCHA y ocultación de URL de login.
  • Salts/keys WP rotados al menos anual; SMTP autenticado.

7) Gestión de cambios y vulnerabilidades

  • Núcleo, tema y plugins actualizados semanalmente (o antes si hay parches críticos).
  • Escaneo de vulnerabilidades mensual y tras instalar plugins.
  • SLA de parchado: crítico 48 h, alto 7 días, medio 30 días.
  • Nuevos plugins: usar solo fuentes confiables, mínimo necesario, revisar reseñas/soporte.

8) Backups y continuidad de negocio

  • Backups automáticos diarios (archivos + base de datos), retención mínima 30 días (ideal 90).
  • Copia off-site y prueba de restauración trimestral.
  • RPO: 24 h · RTO: 24 h.
  • Contingencia: si el sitio cae, atención por correo y WhatsApp informando estado y tiempos estimados.

9) Registro y monitoreo

  • Mantener logs de acceso, actividad WP (auditoría) y errores del servidor.
  • Retención de logs 90 días.
  • Alertas por intentos de intrusión, caídas y cambios críticos.

10) Seguridad en WhatsApp/Manychat

  • Solo categorías autorizadas por el usuario (estado de pedido/soporte).
  • Palabras clave: BAJA/ALTA/AYUDA; baja efectiva y registrada.
  • Prohibido solicitar/guardar datos Sensibles por WhatsApp; redirigir a canales seguros.
  • Revisión mensual de flujos, enlaces y permisos.

11) Datos, retención y eliminación

  • Minimización: recopilar solo lo necesario para la gestión.
  • Depuración de contactos inactivos de marketing (si existiese) cada 24 meses.
  • Respaldos de compras/facturas (cuando existan): según normativa chilena (p. ej., hasta 6 años).
  • Eliminación segura: borrar de sistemas y papelera, revocar accesos y limpiar copias cuando proceda.

12) Proveedores y transferencias internacionales

  • Proveedores principales: Hostinger, Google (GA4), Meta (Pixel/WhatsApp), Manychat, Chilexpress/Starken/Bluex.
  • Se exigen medidas de seguridad y acuerdos de tratamiento; transferencias internacionales con garantías adecuadas.

13) Seguridad de dispositivos y trabajo remoto

  • Dispositivos con cifrado de disco, bloqueo automático y antivirus/antimalware.
  • 2FA en servicios críticos.
  • Prohibido almacenar PII en dispositivos personales sin cifrado ni compartir archivos por apps no autorizadas.

14) Concienciación y formación

  • Inducción de seguridad a toda persona que opere sistemas de Poleras Libres.
  • Refrescos anuales sobre phishing, manejo de PII y uso seguro de WhatsApp.

15) Respuesta a incidentes

  1. Detectar (alerta/usuario/proveedor).
  2. Contener (aislar sitio, deshabilitar plugin, rotar claves).
  3. Erradicar y recuperar (parchear, restaurar backup probado).
  4. Notificar: a clientes afectados y, de ser necesario, a autoridades.
  5. Lecciones aprendidas y mejora de controles.
  • Tiempo objetivo para contención inicial: 24 h desde la detección.

16) Uso aceptable

  • Usar solo herramientas autorizadas.
  • Prohibido instalar plugins no aprobados o usar cuentas compartidas.
  • No reutilizar contraseñas ni almacenar claves en texto plano.

17) Excepciones

Cualquier excepción a esta política debe ser aprobada por el RSI, documentada con alcance, riesgo y vigencia.

18) Revisión y vigencia

Esta política se revisa anualmente o ante cambios relevantes. Entra en vigor desde su publicación y reemplaza versiones previas.