Servicios Portafolio Tecnologias Proceso Contacto
Seguridad

Política de Protección de Datos

Última actualización: 15 de marzo de 2026

1. Introducción

GoTech Lab (en adelante "GTL") se compromete a proteger la seguridad y confidencialidad de toda la información que maneja, incluyendo datos personales de clientes, datos procesados a través de nuestros sistemas de software y datos operativos internos.

Esta Política de Protección de Datos describe las medidas técnicas, administrativas y organizativas que implementamos para garantizar la seguridad de la información, en cumplimiento con:

  • LFPDPPP - Ley Federal de Protección de Datos Personales en Posesión de los Particulares (México)
  • Políticas de protección de datos de plataformas integradas (Mercado Libre, Amazon, Walmart, entre otros)
  • Estándares internacionales de seguridad de la información aplicables a plataformas SaaS

2. Alcance

Esta política aplica a:

  • Todos los datos personales de clientes y prospectos de GoTech Lab
  • Información comercial y operativa procesada dentro de los sistemas desarrollados para cada cliente
  • Datos de integración con APIs y servicios externos configurados por los clientes
  • Datos de contacto proporcionados directamente por usuarios del sitio web
  • Credenciales de acceso a APIs, sistemas internos y cuentas de clientes
  • Todos los sistemas, aplicaciones y bases de datos de GTL

3. Principios de protección de datos

Nos regimos por los siguientes principios:

  • Licitud: Tratamos datos conforme a la ley y con base legal válida
  • Consentimiento: Obtenemos consentimiento cuando es requerido
  • Información: Informamos sobre el tratamiento de datos de forma transparente
  • Calidad: Mantenemos datos exactos y actualizados
  • Finalidad: Usamos datos solo para las finalidades informadas
  • Lealtad: No utilizamos medios engañosos para obtener datos
  • Proporcionalidad: Solo recopilamos datos necesarios para las finalidades
  • Responsabilidad: Implementamos medidas para garantizar el cumplimiento

4. Arquitectura de seguridad

Cifrado en tránsito

Todas las comunicaciones utilizan TLS 1.2+ / HTTPS. Las llamadas a APIs y servicios integrados están cifradas de extremo a extremo.

Cifrado en reposo

Base de datos con cifrado AES-256 a nivel de tablespace. Backups cifrados con AES-256 antes de almacenamiento.

Control de acceso

RBAC (Role-Based Access Control) con autenticación JWT. MFA obligatorio para acceso administrativo.

Protección de red

Firewall perimetral con whitelist de IPs. Base de datos sin acceso público directo. SSH con clave RSA.

Gestión de credenciales

Variables de entorno protegidas (nunca en código). Tokens con expiración automática. Rotación anual.

Auditoría

Logs estructurados con timestamp, usuario e IP. Retención de 12+ meses. Revisión quincenal.

5. Clasificación de datos

Clasificación Tipos de datos Controles
Confidencial Datos de clientes, credenciales API, tokens de acceso, datos de integración Cifrado AES-256, acceso restringido, logs de auditoría
Interno Configuraciones del sistema, reportes de uso, métricas de la plataforma Acceso autenticado, RBAC, cifrado en tránsito
Público Información del sitio web, descripción de funcionalidades, material promocional Sin restricciones de acceso

6. Manejo de datos en proyectos de clientes

6.1 Aislamiento de datos

  • Cada cliente opera en su propia instancia con datos completamente aislados
  • No se comparten datos entre instancias de diferentes clientes bajo ninguna circunstancia
  • Los datos de servicios externos conectados por el cliente son procesados exclusivamente dentro de su instancia
  • GoTech Lab no accede a los datos de los clientes salvo para soporte técnico solicitado explícitamente

6.2 Datos de integración con servicios externos

  • Las credenciales de APIs externas son almacenadas de forma cifrada y utilizadas exclusivamente para las integraciones configuradas por el cliente
  • Cada servicio externo tiene tokens de acceso independientes con expiración automática
  • Los datos se segregan lógicamente por servicio y por cliente en nuestra infraestructura
  • Se cumplen las políticas de protección de datos de cada plataforma integrada

7. Gestión de accesos

Rol Acceso a datos de clientes Acceso a la plataforma Acceso administrativo
Administrador GTL Solo con autorización del cliente Completo Completo
Soporte técnico Solo para resolver incidencias reportadas Limitado No
Cliente (administrador) Su propia instancia Su propia instancia Su propia instancia
Cliente (operador) Según permisos asignados Según permisos asignados No

8. Gestión de contraseñas

  • Mínimo 12 caracteres con mayúsculas, minúsculas, números y caracteres especiales
  • MFA obligatorio para acceso administrativo y al servidor
  • Caducidad cada 365 días con rotación obligatoria
  • No reutilización de las últimas 5 contraseñas
  • Bloqueo de cuenta tras 5 intentos fallidos consecutivos
  • Credenciales de API almacenadas en variables de entorno protegidas

9. Respaldo y recuperación

  • Backups diarios automatizados de todas las bases de datos
  • Cifrado AES-256 de backups antes de transferencia
  • Almacenamiento en ubicación geográficamente separada con redundancia
  • RTO (Recovery Time Objective): 4 horas
  • RPO (Recovery Point Objective): 24 horas
  • Pruebas de restauración trimestrales
  • Retención de backups por 90 días con rotación automática

10. Plan de respuesta a incidentes

Mantenemos un plan de respuesta a incidentes de seguridad con las siguientes fases:

  1. Detección: Monitoreo continuo de logs y alertas automáticas ante accesos no autorizados o patrones anómalos.
  2. Contención: Bloqueo inmediato de credenciales comprometidas y aislamiento del sistema afectado. Máximo 1 hora para contención inicial.
  3. Notificación: Reporte a las partes afectadas dentro de 24 horas:
    • Clientes afectados
    • Plataformas cuyos datos pudieran estar comprometidos
    • Autoridades regulatorias según aplique (INAI)
  4. Investigación: Análisis forense de logs para determinar alcance, vector de ataque y datos comprometidos.
  5. Remediación: Parcheo de vulnerabilidad, rotación de credenciales, restauración desde backup limpio.
  6. Post-incidente: Documentación del incidente, análisis de causa raíz, actualización de controles preventivos.

El plan se revisa y actualiza cada 6 meses o después de cada incidente.

11. Gestión de vulnerabilidades

  • Análisis de vulnerabilidades cada 30 días en todos los sistemas que manejan información
  • Pruebas de penetración anuales
  • Hallazgos críticos: remediación en 7 días
  • Hallazgos altos: remediación en 30 días
  • Escaneo de código antes de cada release
  • Monitoreo de dependencias con npm audit
  • Revisión semanal del progreso de remediación

12. Protección en entornos de prueba

  • Entornos de prueba completamente aislados de producción
  • Se utilizan datos sintéticos o anonimizados, nunca datos reales de clientes
  • Bases de datos de prueba independientes sin información real
  • Los cambios se evalúan en entorno de prueba antes de pasar a producción

13. Prevención de exposición de credenciales

  • Credenciales almacenadas en archivos .env excluidos del control de versiones (.gitignore)
  • Repositorios de código privados
  • Nunca se hardcodean credenciales en código fuente
  • Escaneos automáticos del repositorio para detectar secrets expuestos
  • Tokens con expiración automática y renovación programática
  • Permisos de archivo restrictivos (chmod 600) para archivos sensibles

14. Retención y eliminación de datos

Tipo de dato Retención Método de eliminación
Datos de proyecto del cliente Vigencia del contrato + 90 días Eliminación completa de BD + backups
Datos fiscales (CFDI) 5 años (obligación legal) Eliminación segura tras periodo legal
Logs de auditoría 12 meses mínimo Rotación automática
Backups 90 días Rotación automática cifrada
Tokens de API de servicios externos Hasta expiración o cancelación del servicio Sobreescritura y revocación

15. Terceros y transferencias

No compartimos información de clientes con terceros.

  • No utilizamos servicios de terceros para procesar datos de clientes, salvo infraestructura de alojamiento bajo acuerdos de confidencialidad
  • No subcontratamos el procesamiento de datos personales
  • Los sistemas son de desarrollo propio y uso exclusivo de GoTech Lab y sus clientes
  • Las únicas transferencias son las necesarias para cumplimiento fiscal y las integraciones configuradas por el propio cliente

16. Contacto de seguridad (IMPOC)

Punto de Contacto de Gestión de Incidentes (IMPOC)

Nombre: Cesar Israel Fernandez Tinajero

Correo: gotech.lab.mx@gmail.com

Teléfono: +52 55 3194 0592

Disponibilidad: 24/7 para incidentes de seguridad

17. Actualizaciones de esta política

Esta Política de Protección de Datos se revisa y actualiza al menos anualmente, o cuando se produzcan cambios significativos en nuestras prácticas de tratamiento de datos, requisitos legales o infraestructura tecnológica.

Versión: 1.0

Fecha de publicación: 15 de marzo de 2026

Próxima revisión: Marzo 2027