SSD SMART SOFTWARE DEVELOPMENT, S.R.L., titular de la plataforma PuntoOS, adopta las presentes Políticas de Seguridad con el objetivo de establecer los principios, medidas y controles que rigen la protección de la información, los sistemas, la infraestructura tecnológica y los datos personales gestionados a través del sitio web www.puntoos.do y la Plataforma PuntoOS, en conformidad con la legislación vigente de la República Dominicana.
Estas políticas aplican a todos los sistemas, datos, infraestructuras, empleados, colaboradores, proveedores de servicios y Clientes que interactúan con los activos de información de PuntoOS.
Pilares fundamentales de la seguridad en PuntoOS
🔒 Confidencialidad Solo acceden quienes están autorizados | ✅ Integridad Los datos no son alterados sin autorización | ⚡ Disponibilidad El servicio está accesible cuando lo necesitas | 🛱 Resiliencia Capacidad de recuperación ante incidentes |
1. SEGURIDAD DEL SITIO WEB
PuntoOS toma todas las medidas y precauciones razonables para proteger la información personal de sus usuarios y seguimos las mejores prácticas de la industria para asegurar que tu información no sea utilizada de manera inapropiada, alterada o destruida.
1.1 Cifrado y transmisión segura
Todas las comunicaciones entre el dispositivo del usuario y los servidores de PuntoOS se realizan a través de conexiones cifradas mediante los protocolos TLS 1.2 / TLS 1.3 (Transport Layer Security), lo que garantiza que la información transmitida no pueda ser interceptada, leída o modificada por terceros no autorizados. El Sitio opera únicamente bajo el protocolo HTTPS, rechazando cualquier solicitud no cifrada.
1.2 Certificados de seguridad
El Sitio cuenta con certificados SSL/TLS emitidos por autoridades de certificación reconocidas, los cuales son renovados periódicamente y monitoreados para garantizar su vigencia y validez. Los usuarios pueden verificar la autenticidad del Sitio mediante el icono de candado visible en la barra de dirección de su navegador.
1.3 Protección contra amenazas web
PuntoOS implementa controles de seguridad para proteger el Sitio y la Plataforma frente a las principales amenazas web, incluyendo:
• Firewall de aplicaciones web (WAF): filtra y bloquea tráfico malicioso antes de que llegue a los servidores.
• Protección contra ataques de denegación de servicio (DDoS): sistemas de mitigación que detectan y absorben ataques de tráfico masivo.
• Protección contra inyección SQL e inyección de código (XSS, CSRF): controles que validan y sanitizan todas las entradas de datos del usuario.
• Cabeceras de seguridad HTTP: implementación de cabeceras como Content Security Policy (CSP), X-Frame-Options, Strict-Transport-Security (HSTS) y otras.
• Escaneo de vulnerabilidades: revisión periódica de la infraestructura web en busca de vulnerabilidades conocidas.
1.4 Autenticación robusta
El acceso a la Plataforma está protegido mediante mecanismos de autenticación robustos que incluyen:
a) Contraseñas seguras: el sistema exige el uso de contraseñas con una longitud mínima y combinación de caracteres alfanuméricos y especiales. Las contraseñas se almacenan en formato cifrado mediante algoritmos de hash unidireccional con salt (bcrypt / Argon2).
b) Autenticación en dos factores (2FA): disponible para todos los Clientes, añade una capa adicional de verificación mediante códigos temporales (TOTP) o mensajes SMS.
c) Bloqueo automático: tras un número determinado de intentos fallidos de inicio de sesión, la cuenta es bloqueada temporalmente y se notifica al titular.
d) Tokens de sesión seguros: las sesiones activas se gestionan mediante tokens firmados con duración limitada, que se invalidan al cerrar sesión o ante actividad sospechosa.
1.5 Control de acceso basado en roles (RBAC)
Dentro de la Plataforma, el acceso a la información y funcionalidades está gobernado por un sistema de roles y permisos granulares (Role-Based Access Control). Cada Usuario autorizado tiene acceso únicamente a los recursos que su rol permite, aplicando el principio de mínimo privilegio. El Cliente es responsable de definir y mantener actualizada la asignación de roles dentro de su cuenta.
1.6 Monitoreo y registros de auditoría
PuntoOS mantiene registros de auditoría (logs) de todas las acciones realizadas en la Plataforma, incluyendo: inicio y cierre de sesión, modificaciones de configuración, acceso a datos sensibles, creación o eliminación de usuarios y transacciones críticas. Estos registros son conservados durante un mínimo de dos (2) años y están disponibles para auditorías internas y requerimientos legales.
■ Ley No. 53-07 sobre Crímenes y Delitos de Alta Tecnología – Arts. 6, 7 y 8: tipifican el acceso no autorizado a sistemas informáticos, el sabotaje informático y la interceptación de datos, con penas privativas de libertad y multas.
■ Ley No. 172-13 – Artículo 9 (Principio de seguridad): obliga al responsable del tratamiento a implementar medidas técnicas y organizativas que garanticen la seguridad de los datos personales.
2. SEGURIDAD DE LA INFRAESTRUCTURA Y LOS DATOS
2.1 Arquitectura de seguridad por capas
La infraestructura de PuntoOS está diseñada con un modelo de seguridad en profundidad (defense in depth), que implementa múltiples capas de protección independientes, de modo que el compromiso de una capa no implique el acceso a las siguientes. Las principales capas incluyen: red perimetral, servidores de aplicación, capa de datos y controles de acceso lógico.
2.2 Almacenamiento seguro de datos
Todos los datos almacenados en la Plataforma son protegidos mediante cifrado en reposo utilizando estándares de la industria (AES-256). Las bases de datos están segmentadas y aisladas de la infraestructura pública, accesibles únicamente a través de conexiones internas autenticadas. Los datos de respaldo (backups) también están cifrados y almacenados en ubicaciones separadas.
2.3 Copias de seguridad (Backups)
PuntoOS realiza copias de seguridad automáticas y periódicas de todos los datos críticos de la Plataforma conforme al siguiente esquema:
Tipo de backup | Frecuencia y retención |
Backup incremental de base de datos | Cada hora – retención: 7 días |
Backup completo de base de datos | Diario – retención: 30 días |
Backup semanal consolidado | Semanal – retención: 3 meses |
Backup de archivos y configuraciones | Diario – retención: 30 días |
Snapshot de infraestructura | Semanal – retención: 1 mes |
Las copias de seguridad son almacenadas en servidores geográficamente separados de la infraestructura principal, y su integridad es verificada periódicamente mediante pruebas de restauración.
2.4 Segmentación de red y entornos
La infraestructura de PuntoOS está dividida en entornos separados e independientes: producción, desarrollo y pruebas. Los datos reales de Clientes solo existen en el entorno de producción, que está aislado de los demás mediante firewalls, redes virtuales privadas (VPN) y controles de acceso estrictos.
2.5 Gestión de vulnerabilidades
PuntoOS mantiene un programa continuo de gestión de vulnerabilidades que incluye:
• Escaneos automáticos periódicos de vulnerabilidades en toda la infraestructura y el código de la Plataforma.
• Aplicación de parches de seguridad en un plazo máximo de 72 horas para vulnerabilidades críticas y 30 días para las demás.
• Pruebas de penetración (pentesting) realizadas por equipos internos o terceros especializados al menos una vez al año.
• Monitoreo de boletines de seguridad (CVE, NVD) para identificar nuevas vulnerabilidades que afecten a los componentes utilizados.
✅ Programa de divulgación responsable: Si descubres una vulnerabilidad de seguridad en PuntoOS, te invitamos a reportarla de forma responsable a soporte@ssd.com.do antes de hacerla pública. Trabajaremos contigo para resolverla en el menor tiempo posible. No tomaremos acciones legales contra investigadores de seguridad que actúen de buena fe. |
3. SEGURIDAD DE LOS PAGOS
Los métodos de pago utilizados por PuntoOS son gestionados a través de servicios de terceros especializados. Estos proveedores (como AZUL u otros habilitados) cumplen con todos los estándares de seguridad y cifrado para mantener tu información segura. Solo utilizarán la información necesaria para completar el proceso requerido. También recomendamos leer las Políticas de Privacidad de estos proveedores para entender mejor cómo manejan la información suministrada.
3.1 Estándar PCI-DSS
El procesamiento de pagos con tarjeta de crédito y débito en PuntoOS cumple con los requerimientos del estándar PCI-DSS (Payment Card Industry Data Security Standard), que es el marco de seguridad reconocido internacionalmente para la protección de datos de titulares de tarjetas. Este estándar establece 12 requisitos agrupados en 6 objetivos de control que los proveedores de pago certificados deben cumplir obligatoriamente.
3.2 Cifrado de información de pago
PuntoOS cifra la información de tarjetas de crédito y débito utilizando la tecnología de capa de puertos seguros (SSL/TLS) durante la transmisión, y los datos en reposo son almacenados con el cifrado AES-256. En ningún caso PuntoOS almacena directamente los números completos de tarjeta (PAN), códigos de seguridad (CVV/CVC) ni datos de autenticación. Estos datos son procesados directamente por las pasarelas de pago certificadas.
3.3 Tokenización de pagos
Para pagos recurrentes o suscripciones, PuntoOS utiliza el mecanismo de tokenización provisto por las pasarelas de pago certificadas. La tokenización reemplaza los datos sensibles de la tarjeta por un identificador único (token) que no tiene valor fuera del entorno de procesamiento autorizado. Esto significa que incluso si el token fuera interceptado, no podría ser utilizado para realizar transacciones fraudulentas.
3.4 Pasarelas de pago autorizadas
PuntoOS trabaja únicamente con pasarelas de pago certificadas PCI-DSS que operan en la República Dominicana y/o internacionalmente. Entre los proveedores habilitados se encuentran:
Proveedor | Certificación y características de seguridad |
AZUL (Cardnet) | Procesador local dominicano, certificado PCI-DSS Nivel 1, cumple normativa del Banco Central RD |
Stripe | PCI-DSS Nivel 1, cifrado end-to-end, tokenización avanzada, detección de fraude por IA |
PayPal | PCI-DSS Nivel 1, protección al comprador, cifrado 2048-bit, autenticación en 2 pasos |
Otros proveedores habilitados | Deberán contar con certificación PCI-DSS vigente y cumplir las normativas del Banco Central de la República Dominicana |
3.5 Detección y prevención de fraude
PuntoOS y sus pasarelas de pago implementan sistemas automáticos de detección y prevención de fraude que analizan en tiempo real los patrones de cada transacción. Entre las medidas de protección antifraude se incluyen:
• Verificación de dirección (AVS) y código de seguridad (CVV) de la tarjeta en cada transacción.
• Análisis de velocidad: detección de múltiples intentos de pago en poco tiempo desde la misma IP o cuenta.
• Listas negras: bloqueo automático de IPs, tarjetas o cuentas asociadas a fraudes previos.
• Autenticación 3D Secure (3DS2): protocolo adicional de verificación del titular de la tarjeta en transacciones de alto riesgo.
• Notificaciones en tiempo real: alertas automáticas al Cliente ante transacciones inusuales o sospechosas.
3.6 Responsabilidad del Cliente en los pagos
El Cliente es responsable de: (i) verificar que las credenciales de acceso a la gestión de cobros estén protegidas; (ii) reportar de inmediato cualquier transacción no reconocida o sospechosa a soporte@ssd.com.do; (iii) mantener actualizados los datos de facturación para evitar interrupciones en el servicio.
⚠ IMPORTANTE: PuntoOS NUNCA solicitará por correo electrónico, teléfono, chat u otro medio el número completo de tu tarjeta, código CVV ni contraseña bancaria. Si recibes una comunicación de este tipo, NO la respondas y repórtala de inmediato a soporte@ssd.com.do, ya que podría tratarse de un intento de phishing. |
■ Normativa del Banco Central de la República Dominicana – Reglamento de Sistemas de Pago: regula los estándares de seguridad aplicables a los proveedores de servicios de pago electrónico que operen en el territorio nacional.
■ Ley No. 53-07 sobre Crímenes y Delitos de Alta Tecnología – Art. 23 (Fraude informático): tipifica y sanciona el fraude realizado a través de sistemas informáticos o redes de comunicación.
4. SEGURIDAD ORGANIZACIONAL Y DEL PERSONAL
4.1 Política de acceso mínimo privilegio
El personal de SSD SMART SOFTWARE DEVELOPMENT, S.R.L. que tenga acceso a los sistemas de producción y datos de Clientes está sujeto al principio de mínimo privilegio: cada empleado o colaborador solo tiene acceso a los recursos estrictamente necesarios para el desempeño de sus funciones. Los accesos son revisados y actualizados periódicamente, y revocados de forma inmediata al término de la relación laboral o contractual.
4.2 Formación y concienciación
Todo el personal de PuntoOS recibe formación obligatoria y continua en materia de seguridad de la información, protección de datos personales, reconocimiento de ataques de ingeniería social (phishing, vishing, smishing) y buenas prácticas de ciberseguridad. Esta formación se actualiza al menos una vez al año.
4.3 Acuerdos de confidencialidad
Todos los empleados, colaboradores externos y proveedores con acceso a datos de Clientes o sistemas críticos de PuntoOS suscriben acuerdos de confidencialidad (NDA) y están sujetos a las políticas internas de seguridad de la información, cuyo incumplimiento puede dar lugar a sanciones disciplinarias y acciones legales.
4.4 Seguridad en el ciclo de desarrollo (DevSecOps)
PuntoOS integra la seguridad en todas las fases del ciclo de desarrollo del software (DevSecOps), lo que incluye:
• Revisión de código con foco en seguridad (code review) antes de cada despliegue a producción.
• Análisis estático de seguridad del código fuente (SAST) y análisis dinámico (DAST) de la aplicación.
• Pruebas de seguridad automatizadas en el pipeline de integración continua (CI/CD).
• Gestión segura de dependencias: actualización y revisión periódica de las librerías y componentes de terceros.
• Control de versiones y trazabilidad de todos los cambios en el código de la Plataforma.
4.5 Gestión de proveedores y terceros
Los proveedores y terceros que tienen acceso a los sistemas o datos de PuntoOS son evaluados en materia de seguridad antes de su contratación. Se exige a los proveedores críticos la suscripción de acuerdos de tratamiento de datos y de nivel de servicio que incluyan compromisos específicos en materia de seguridad y privacidad.
5. GESTIÓN DE INCIDENTES DE SEGURIDAD
5.1 Protocolo de respuesta a incidentes
PuntoOS cuenta con un protocolo formal de respuesta a incidentes de seguridad que contempla las siguientes fases:
Fase | Descripción y acciones |
1. Detección e identificación | Identificación del incidente a través de sistemas de monitoreo, alertas automáticas o reporte interno/externo. |
2. Contención | Aislamiento inmediato de los sistemas afectados para evitar la propagación del incidente. |
3. Erradicación | Eliminación de la causa raíz del incidente y de cualquier código malicioso o acceso no autorizado. |
4. Recuperación | Restauración de los sistemas afectados a su estado operativo normal mediante copias de seguridad validadas. |
5. Notificación | Comunicación a los Clientes afectados y a las autoridades competentes en los plazos legales. |
6. Lecciones aprendidas | Documentación del incidente, análisis de causa raíz y actualización de controles para prevenir recurrencia. |
5.2 Notificación de brechas de seguridad
En caso de que se produzca una brecha de seguridad que afecte datos personales de los Clientes o Usuarios, PuntoOS se compromete a:
a) Notificación a los afectados: comunicar la brecha a los Clientes y Usuarios afectados en el menor tiempo posible, y en todo caso dentro de los plazos exigidos por la Ley No. 172-13, detallando la naturaleza del incidente, los datos comprometidos, las medidas adoptadas y las recomendaciones para mitigar el riesgo.
b) Notificación a autoridades: reportar la brecha a las autoridades competentes (INDOTEL u otras) conforme a los procedimientos y plazos establecidos por la normativa dominicana aplicable.
c) Registro interno: documentar el incidente, su impacto, las medidas de respuesta adoptadas y las lecciones aprendidas en el registro interno de incidentes de seguridad.
🚨 En caso de sospecha de brecha de seguridad o incidente que afecte tu cuenta, contacta de inmediato a: ✉ soporte@ssd.com.do ☎ 809-559-7328 Disponible lunes a viernes, 8:00 AM – 6:00 PM. Para incidentes críticos fuera de horario, envía un correo con el asunto “INCIDENTE URGENTE”. |
■ Ley No. 172-13 – Arts. 9 y 38: el responsable del tratamiento está obligado a notificar a los titulares y a las autoridades competentes cuando se produzca una brecha de seguridad que comprometa datos personales.
■ Ley No. 53-07 – Artículo 9: obligaciones de colaboración con las autoridades ante delitos informáticos que afecten a sistemas de información.
6. CONTINUIDAD DEL NEGOCIO Y RECUPERACIÓN ANTE DESASTRES
6.1 Plan de Continuidad del Negocio (BCP)
PuntoOS mantiene un Plan de Continuidad del Negocio (BCP) documentado y probado, que establece los procedimientos para garantizar la continuidad de los servicios esenciales ante interrupciones graves causadas por desastres naturales, fallos de infraestructura, incidentes de seguridad o cualquier otro evento disruptivo.
6.2 Plan de Recuperación ante Desastres (DRP)
El Plan de Recuperación ante Desastres (DRP) establece los objetivos y procedimientos para la restauración de los sistemas y datos críticos ante un evento catástrofico. Los objetivos de recuperación incluyen:
a) RTO (Recovery Time Objective): tiempo máximo objetivo para la recuperación del servicio tras un incidente grave: 4 horas para servicios críticos.
b) RPO (Recovery Point Objective): máxima pérdida de datos tolerable en caso de desastre: máximo 1 hora de datos (conforme a la frecuencia de backups incrementales).
6.3 Infraestructura redundante
La infraestructura de PuntoOS está diseñada con redundancia en sus componentes críticos, incluyendo: servidores con alta disponibilidad (HA), balanceo de carga, almacenamiento replicado en múltiples zonas geográficas y sistemas de failover automático para minimizar el impacto de fallos individuales.
7. RESPONSABILIDADES DE SEGURIDAD DEL CLIENTE
La seguridad de PuntoOS es una responsabilidad compartida entre el proveedor y el Cliente. PuntoOS garantiza la seguridad de la infraestructura, la plataforma y los mecanismos de protección. El Cliente es responsable de la seguridad en el uso de la Plataforma dentro de su organización, incluyendo:
a) Gestión de credenciales: mantener en secreto y no compartir las credenciales de acceso de su cuenta y la de sus Usuarios autorizados.
b) Gestión de usuarios: crear, modificar y eliminar oportunamente los accesos de sus Usuarios, especialmente cuando un empleado abandone la organización o cambie de función.
c) Dispositivos seguros: acceder a PuntoOS desde dispositivos con sistemas operativos y navegadores actualizados, software antivirus activo y conexiones a internet confiables.
d) Contraseñas robustas: usar contraseñas únicas y seguras para el acceso a PuntoOS, diferenciadas de las utilizadas en otros servicios.
e) Habilitación de 2FA: se recomienda activar la autenticación en dos factores para todos los usuarios con acceso a la Plataforma.
f) Reporte inmediato: notificar sin demora a PuntoOS ante cualquier sospecha de acceso no autorizado, comportamiento anómalo o incidente de seguridad.
g) Uso legítimo: utilizar PuntoOS únicamente para los fines comerciales autorizados, absteniéndose de realizar acciones que puedan comprometer la seguridad de la Plataforma o de otros Clientes.
✅ Buenas prácticas recomendadas: • Activa la autenticación en dos factores (2FA) en tu cuenta. • Revisa periódicamente los usuarios activos y sus permisos. • Cierra sesión al terminar de usar la Plataforma en dispositivos compartidos. • No accedas a PuntoOS desde redes Wi-Fi públicas no seguras. • Mantén actualizado el sistema operativo y navegador de tus dispositivos. |
8. CUMPLIMIENTO NORMATIVO Y CERTIFICACIONES
PuntoOS desarrolla y mantiene su programa de seguridad en alineación con las siguientes normas, estándares y marcos de referencia:
Estándar / Norma | Alcance y aplicación en PuntoOS |
PCI-DSS (Payment Card Industry Data Security Standard) | Seguridad en el procesamiento de pagos con tarjeta a través de las pasarelas integradas. |
ISO/IEC 27001 (Marco de referencia) | Gestión de la seguridad de la información como marco de mejores prácticas de referencia. |
OWASP Top 10 | Protección contra las principales vulnerabilidades de seguridad en aplicaciones web. |
NIST Cybersecurity Framework | Marco de referencia para la gestión del riesgo cibernético y la respuesta a incidentes. |
Ley No. 172-13 (RD) | Cumplimiento de los requisitos de seguridad en el tratamiento de datos personales. |
Ley No. 53-07 (RD) | Cumplimiento de la normativa dominicana sobre crímenes y delitos de alta tecnología. |
9. ACTUALIZACIÓN DE LAS POLÍTICAS DE SEGURIDAD
Las presentes Políticas de Seguridad son revisadas y actualizadas al menos una vez al año, o cuando se produzcan cambios significativos en la infraestructura, los procesos, la normativa aplicable o el panorama de amenazas cibernéticas. Las actualizaciones serán notificadas a los Clientes a través de los canales oficiales de comunicación de PuntoOS (correo electrónico y/o aviso en la Plataforma) con al menos quince (15) días de antelación a su entrada en vigor.
La versión vigente de estas Políticas está siempre disponible en www.puntoos.do. El uso continuado de la Plataforma tras la entrada en vigor de los cambios implica la aceptación de las políticas actualizadas.
10. CONTACTO EN MATERIA DE SEGURIDAD
Para reportar incidentes de seguridad, vulnerabilidades, solicitar información sobre las medidas de protección implementadas o realizar cualquier consulta relacionada con estas Políticas, el usuario puede contactar a:
🛡 Equipo de Seguridad – SSD SMART SOFTWARE DEVELOPMENT, S.R.L. ✉ Correo de seguridad: soporte@ssd.com.do (Asunto: “Seguridad – [descripción breve]”) ☎ Teléfono: 809-559-7328 🏢 Dirección: Calle Centro Olímpico, No. 28, Apartamento 2A, Santo Domingo, República Dominicana 🌐 Sitio web: www.puntoos.do ⏰ Horario de atención: Lunes a viernes, 8:00 AM – 6:00 PM (hora local RD) 🚨 Incidentes críticos fuera de horario: Envía correo con asunto “INCIDENTE URGENTE DE SEGURIDAD” |
Estas Políticas de Seguridad son válidas en su versión electrónica publicada en www.puntoos.do
© 2026 SSD SMART SOFTWARE DEVELOPMENT, S.R.L. | Todos los derechos reservados.