Protección integral de datos y ciberseguridad de TECBRO Tecnologìas en la Informaciòn

Proceso integral de protección de la información y garantía de privacidad

Este documento describe el marco organizacional, legal y técnico que utilizamos para proteger la información, alineando nuestras prácticas con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP, Nueva Ley 2025), su reglamentación aplicable, la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO), así como con estándares internacionales como ISO/IEC 27001:2022 y otros lineamientos de seguridad de la información, ciberseguridad y privacidad.

Confidencialidad · Integridad · Disponibilidad · Trazabilidad Zero Trust · “Privacy by design”

Clasificación de la información

4 niveles

Pública · Interna · Confidencial · Restringida

Controles técnicos activos

+60

Red · Aplicación · Endpoint · Nube

Esquema de respaldo

3-2-1

Cifrado · Fuera de línea · Pruebas regulares

El modelo de seguridad se basa en un Sistema de Gestión de Seguridad de la Información inspirado en ISO/IEC 27001, gestionando riesgos, activos, controles y mejora continua mediante ciclos de planificación, ejecución, evaluación y ajuste.

La privacidad se incorpora desde el diseño y por defecto ("privacy by design & by default"), garantizando que solo se recolecten los datos estrictamente necesarios, con finalidades legítimas, plazos de conservación limitados y respeto a los derechos ARCO/ARCOP definidos por la legislación mexicana vigente.

Marco legal mexicano

Protección de datos personales y derechos ARCO/ARCOP

El tratamiento de datos personales se realiza con apego a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), incluida su versión reformada de 2025 y su Reglamento, así como a la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO) cuando resulte aplicable.

Legalidad · Finalidad · Lealtad · Proporcionalidad · Responsabilidad

Principios de tratamiento de datos

LFPDPPP (Nueva Ley 2025)

El tratamiento de datos personales se limita a finalidades explícitas, legítimas y previamente informadas al titular mediante avisos de privacidad integrales y simplificados, distinguiendo finalidades que requieren consentimiento de aquellas que no lo requieren conforme a las reformas vigentes.
Se aplica el principio de calidad y minimización de datos, recolectando únicamente la información estrictamente necesaria, verificando su exactitud y actualizándola de manera periódica, en plazos de conservación definidos, bloqueo previo y supresión posterior.
Se reconoce y facilita el ejercicio de derechos ARCO/ARCOP: acceso, rectificación, cancelación, oposición, portabilidad y limitación del uso/divulgación de datos cuando proceda, mediante mecanismos digitales y físicos claramente accesibles.
Se asume el deber de confidencialidad reforzado para todas las personas que intervienen en el tratamiento (empleados, encargados, proveedores y terceros), incluso después de concluida la relación jurídica correspondiente.

Avisos de privacidad y transferencias

Transparencia y control

Los avisos de privacidad explican de manera clara las categorías de datos recolectados, incluyendo los datos sensibles, las finalidades principales y secundarias, los plazos de conservación y los mecanismos para ejercer derechos ARCO/ARCOP.
Las transferencias de datos a terceros nacionales o internacionales se realizan únicamente cuando existe base legal y, en su caso, consentimiento del titular, celebrando cláusulas contractuales que aseguren un nivel adecuado de protección conforme al marco mexicano e internacional.
Se registran internamente catálogos de tratamiento, inventarios de bases de datos y matrices de transferencia, que sirven como soporte ante auditorías y requerimientos de autoridades de control y supervisión.
Toda solicitud o queja relacionada con privacidad se registra en un expediente digital, con plazos de respuesta alineados a los tiempos previstos por la legislación mexicana aplicable.

Aviso importante: La información de esta sección resume obligaciones y principios generales; no constituye asesoría legal personalizada. Para interpretar o aplicar la normativa a un caso concreto, es recomendable obtener acompañamiento jurídico especializado en protección de datos personales y ciberseguridad en México.

Estándares internacionales

Gestión de seguridad según ISO/IEC 27001 y familia 27000

La gestión de seguridad de la información se inspira en los requisitos de la norma ISO/IEC 27001:2022 y marcos relacionados (ISO/IEC 27002, 27017, 27018 y 27701), aplicando un enfoque sistemático de identificación de activos, valoración de riesgos y selección de controles para preservar confidencialidad, integridad y disponibilidad.

SGSI · Riesgos · Controles · Mejora continua

Sistema de Gestión de Seguridad de la Información (SGSI)

ISO/IEC 27001

La información se gestiona como activo crítico, clasificándola y asociándola a responsables de su custodia; se mantiene un inventario actualizado de activos físicos, lógicos y de negocio, incluyendo servicios en la nube.
Se realiza un análisis de riesgos recurrente para identificar amenazas, vulnerabilidades e impactos, con criterios objetivos de probabilidad y severidad, priorizando controles de prevención, detección y respuesta.
Las medidas de seguridad se documentan en una Declaración de Aplicabilidad (SoA) interna, que vincula controles tecnológicos, organizativos y físicos con los riesgos que mitigan, permitiendo auditorías y revisiones periódicas.
Se adopta un ciclo de mejora continua (Planear–Hacer–Verificar–Actuar) para actualizar políticas, procedimientos, registros y controles, incorporando lecciones aprendidas de incidentes, ensayos de crisis y cambios regulatorios.

Privacidad, nube y datos personales

ISO/IEC 27017 · 27018 · 27701

Se aplican lineamientos de seguridad específicos para servicios en la nube (ISO/IEC 27017), cubriendo segregación entre clientes, controles de acceso reforzados y monitoreo continuo de entornos virtualizados.
El tratamiento de datos personales en entornos de nube se ajusta a prácticas recomendadas para protección de datos de clientes (ISO/IEC 27018), incluyendo controles para limitar el acceso del proveedor y registros de tratamiento.
Se integra un modelo de gestión de información de privacidad alineado a ISO/IEC 27701, con roles claros de responsable/encargado, evaluación de impacto en protección de datos (EIPD/DPIA) y seguimiento de incidentes de privacidad.
Los acuerdos de nivel de servicio (SLA) con terceros incluyen compromisos de confidencialidad, seguridad, notificación de incidentes y posibilidad de auditoría o revisión documental sobre controles de seguridad y privacidad.

Defensa técnica avanzada

Prácticas modernas de ciberseguridad y arquitectura Zero Trust

La arquitectura técnica se diseña bajo el paradigma "Zero Trust", reforzado con controles de defensa en profundidad, segmentación de red, cifrado, supervisión continua, pruebas de penetración, automatización e inteligencia artificial para la detección temprana de amenazas.

Prevención · Detección · Respuesta · Resiliencia

Controles de red y acceso

Zero Trust · IAM · MFA

Las comunicaciones se protegen mediante cifrado fuerte en tránsito (TLS moderno), segmentación de redes internas, microsegmentación lógica y uso de VPN o túneles seguros para accesos administrativos.
El acceso a sistemas y datos se rige por gestión centralizada de identidades (IAM), autenticación multifactor (MFA), políticas de mínimo privilegio y revisión periódica de permisos y cuentas inactivas.
Cada solicitud de acceso se valida bajo principios de "nunca confíes, verifica siempre", utilizando contexto (ubicación, dispositivo, comportamiento) para ajustar niveles de riesgo y requerir medidas adicionales de autenticación cuando sea necesario.
Los dispositivos finales (endpoints) cuentan con soluciones avanzadas EDR/XDR, reforzando capacidades de detección, aislamiento y remediación frente a malware, ransomware y comportamiento anómalo.

Monitoreo, IA y pruebas de seguridad

Threat intelligence · Pentesting

Se supervisa de forma continua el tráfico de red, registros de acceso y telemetría de sistemas, utilizando análisis de comportamiento y algoritmos de inteligencia artificial para identificar patrones atípicos y posibles amenazas.
Se realizan pruebas de penetración y ejercicios de Red Team/Blue Team sobre aplicaciones, infraestructura y procesos, con el objetivo de detectar vulnerabilidades y mejorar los planes de respuesta a incidentes.
Los parches de seguridad y actualizaciones de software se gestionan mediante un proceso formal de gestión de vulnerabilidades, priorizando activos críticos y reduciendo ventanas de exposición.
Se aplican copias de seguridad cifradas siguiendo el esquema 3‑2‑1, con pruebas periódicas de restauración y estrategias de recuperación ante desastres, asegurando continuidad de negocio frente a incidentes graves.

Nota sobre "secretos industriales": Con el fin de mantener la seguridad, este documento describe únicamente principios, procesos y tipos de controles de alto nivel. No se revelan claves criptográficas, configuraciones específicas, códigos fuente propietarios ni procedimientos internos detallados que pudieran comprometer la protección de la información o secretos industriales.

Mapa del proceso

Ciclo integral de protección y privacidad

El proceso integral abarca la gestión completa del ciclo de vida de los datos: desde la recolección legítima y transparente, hasta la eliminación segura, pasando por fases de almacenamiento, uso, transferencia, respaldo, anonimización y respuesta a incidentes.

"Privacy & security by design"

Fases del ciclo de vida de la información

De origen a destrucción

Recolección: Se solicitan únicamente datos necesarios, con explicaciones claras sobre finalidades, legitimación y plazos de conservación, utilizando avisos de privacidad visibles y registros de consentimiento cuando procede.
Almacenamiento y uso: Los datos se almacenan en entornos protegidos, cifrados y segmentados, con accesos controlados, registros de actividades, políticas de uso aceptable y capacitación continua al personal.
Transferencia y acceso compartido: Se limitan las transferencias a terceros, se formalizan contratos de encargado/responsable, se aplican técnicas de seudonimización o anonimización cuando es posible y se monitorean los accesos.
Conservación, bloqueo y eliminación: Se definen plazos de conservación según finalidad y normativa; una vez concluidos, los datos se bloquean y se eliminan de forma segura mediante procesos verificables y registros de destrucción.

Gestión de incidentes y continuidad

Respuesta estructurada

Se dispone de un plan formal de respuesta a incidentes de seguridad y violaciones de datos personales, con roles, tiempos de reacción, canales de comunicación y procedimientos de contención, erradicación y recuperación.
Los incidentes se documentan en registros internos, se analizan causas raíz y se definen acciones correctivas y preventivas, integrándose a la mejora continua del Sistema de Gestión de Seguridad de la Información.
Cuando la legislación lo requiere, se evalúa el impacto sobre titulares y se notifican violaciones de seguridad a las autoridades competentes y a las personas afectadas en tiempos y formatos compatibles con las obligaciones regulatorias.
La organización realiza simulacros y pruebas periódicas sobre planes de continuidad y recuperación, validando tiempos de recuperación (RTO) y puntos de recuperación (RPO) definidos para procesos críticos.

LIMITACIONES JURISDICCIONALES Y EJERCICIO DE DERECHOS: TECBRO Tecnologías de la Información actúa como Responsable del Tratamiento de datos personales bajo la legislación mexicana aplicable (LFPDPPP, LGPDPPSO). El ejercicio de derechos ARCO/ARCOP y cualquier solicitud relacionada con datos personales se sujetará exclusivamente a los procedimientos y plazos establecidos en dicha legislación.

En cumplimiento de obligaciones de posesión de datos derivadas de relaciones contractuales, jurídicas o regulatorias, TECBRO podrá conservar información de terceros únicamente cuando exista base legal, consentimiento o cumplimiento de obligaciones legales específicas. La transferencia internacional de datos se rige por cláusulas contractuales y mecanismos de protección adecuados según cada jurisdicción.

Ámbito de aplicación extraterritorial: Este marco de protección reconoce la aplicabilidad de regulaciones internacionales cuando corresponda, incluyendo pero no limitado a: GDPR (UE/EEE) CCPA/CPRA (California, EE.UU.) LGPD (Brasil) Ley 25.326 (Argentina) LOPDGDD (España) PIPEDA (Canadá) entre otras, respetando siempre el principio de territorialidad y las disposiciones específicas de cada marco legal.

Descargo de responsabilidad jurídica: Esta documentación no constituye asesoría legal ni genera derechos o expectativas más allá de los establecidos en los instrumentos contractuales y normativos aplicables. Para cuestiones específicas sobre el ejercicio de derechos o obligaciones de posesión de datos en su jurisdicción, consulte con un profesional legal especializado.

Limitación de responsabilidad: Esta landing page describe de forma general la aproximación de la organización a la protección de información y privacidad. Existen políticas, normas internas, documentos técnicos y configuraciones específicas de acceso restringido que no se publican, para preservar la eficacia de los controles de seguridad y la protección de secretos industriales.