HoldingSoft
AplicacionesPreciosPartners
Iniciar sesión
Arquitectura de seguridad

Construido sobre Microsoft Azure con cifrado de extremo a extremo

Cada componente de HoldingSoft+ se ejecuta en infraestructura certificada internacionalmente, con cifrado en tránsito y en reposo, identidades administradas y trazabilidad completa de acceso a los datos.

INTERNET PÚBLICOUsuario (navegador)Autenticación + JWTTLS 1.2+ · cifradoMICROSOFT AZURE · BRASIL SURAzure Front Door + WAFCDN · DDoS · CSP · Rate limitAzure Container Apps · Managed IdentityFrontend Next.jsBackend Django RESTAzure DB · PostgreSQLAES-256 · PITR 30d · Drill mensualAzure Blob StorageAES-256 · Versionado · Soft-delete 90dAzureKey VaultSecretsClaves AESTokens OAuthRotaciónautomáticaManaged IdentityAppInsightsTelemetríaAudit logsAlertas24/7Retención 90dISO 27035Defensa en profundidad · Privilegio mínimo · Identidades administradas · Auditoría continua
ISO/IEC 27001:2022
ISO/IEC 27018
Ley 1581 / 2012
RGPD (UE)
Brasil Sur · región
AES-256 + TLS 1.2+
  1. Inicio
  2. ›
  3. Compromiso de Seguridad

Compromiso de Seguridad

Cómo protegemos la información de nuestros clientes en HoldingSoft+: cifrado, redundancia, control de acceso, continuidad operacional y cumplimiento normativo.

Fecha de entrada en vigor: 12 de mayo de 2026
Contenido
  1. Nuestro compromiso
  2. Cifrado de datos
  3. Control de acceso e identidad
  4. Respaldo y continuidad
  5. Trazabilidad y auditoría
  6. Desarrollo seguro
  7. Inteligencia Artificial responsable
  8. Cumplimiento normativo
  9. Subprocesadores e infraestructura
  10. Gestión de incidentes y notificación de brechas
  11. Responsabilidades del cliente
  12. Mejora continua
  13. Contacto de seguridad

1. Nuestro compromiso

En Holding Consultants entendemos que la información que nuestros clientes confían a la plataforma HoldingSoft+ es el corazón de su sistema de gestión: documentos del sistema documental, evidencias de auditoría, indicadores de desempeño, hallazgos, datos de personal y registros legales.

Por eso aplicamos un programa de seguridad de la información alineado con las mejores prácticas internacionales: cifrado en todas las capas, control de acceso basado en identidad, redundancia de datos, auditoría continua y un proceso documentado de continuidad operativa.

Esta página resume públicamente los controles que mantenemos. Los detalles operativos, runbooks, claves y configuraciones se gestionan internamente bajo clasificación reservada conforme al Anexo A de la norma ISO/IEC 27001:2022.

2. Cifrado de datos

En tránsito. Todas las comunicaciones entre el navegador del usuario y nuestros servicios se realizan sobre TLS 1.2 o superior, con suites de cifrado modernas y certificados emitidos por autoridades reconocidas. El acceso por HTTP plano está deshabilitado.

En reposo. La base de datos y el almacenamiento de archivos están cifrados con AES-256 mediante mecanismos administrados por la plataforma de nube (Microsoft Azure). Las claves de cifrado se gestionan a través de un servicio dedicado de gestión de secretos (Azure Key Vault) con protección contra borrado y rotación periódica documentada.

Credenciales. Las contraseñas de los usuarios se almacenan cifradas con el algoritmo Argon2, considerado estado del arte para hashing de contraseñas. Los tokens de integración con servicios externos (Google, Meta, etc.) se cifran con claves Fernet antes de ser persistidos.

3. Control de acceso e identidad

HoldingSoft+ es una plataforma multi-tenant en la que cada organización opera con datos completamente aislados de las demás. El aislamiento se enforza tanto a nivel de aplicación como de capa de datos mediante mecanismos de seguridad a nivel de fila (Row-Level Security).

  • Roles y permisos granulares: superadministrador, administrador, gerente, supervisor, operativo y consultor externo, con permisos diferenciados por módulo.
  • Sesiones autenticadas con JWT de corta duración y refresh seguro, invalidación inmediata al cierre de sesión.
  • Acceso a infraestructura mediante identidades administradas (Managed Identity) — ni los servicios ni el equipo técnico tienen acceso a credenciales en texto plano.
  • Privilegio mínimo aplicado por convención: cada componente accede únicamente a los recursos que necesita para su función específica.

4. Respaldo y continuidad

Mantenemos respaldos automáticos de toda la información transaccional y documental de la plataforma. Los archivos cargados por los clientes (documentos, diplomas, recursos) cuentan con:

  • Eliminación reversible de blobs y contenedores durante 90 días (un archivo borrado se puede recuperar dentro de ese período).
  • Versionado activo: cada cambio sobre un archivo conserva la versión anterior recuperable.
  • Recuperación a punto en el tiempo hasta 30 días atrás.
  • Verificación diaria del estado de protección mediante automatización; cualquier degradación bloquea automáticamente nuevos despliegues.

La base de datos transaccional cuenta con respaldos automáticos administrados por la nube y un procedimiento interno documentado de recuperación, que se ejercita periódicamente conforme a nuestra política interna de continuidad.

Hemos definido objetivos formales de tiempo de recuperación (RTO) y punto de recuperación (RPO) por proceso de negocio, derivados de un Análisis de Impacto al Negocio (BIA) que se revisa al menos cada seis meses.

5. Trazabilidad y auditoría

Cada acción relevante sobre los datos del cliente — creación, modificación, eliminación, exportación — queda registrada con marca temporal y autor. Estos registros sirven tanto para la auditoría interna del cliente (apoyando sus propias certificaciones ISO) como para la trazabilidad legal exigida por la Ley 1581 de 2012 de Colombia y normativa equivalente.

  • Telemetría continua con Azure Application Insights para detección de errores y anomalías.
  • Logs centralizados con retención conforme a las obligaciones legales aplicables.
  • Alertas automáticas a nuestro equipo cuando se detectan eventos críticos en producción.

6. Desarrollo seguro

El proceso de desarrollo y despliegue de HoldingSoft+ incorpora controles para reducir la introducción de vulnerabilidades:

  • Análisis estático automatizado en cada cambio de código (SAST con GitHub CodeQL, escaneo de secretos, auditoría de dependencias).
  • Validación de tipos y pruebas automatizadas obligatorias antes de cada despliegue.
  • Despliegue canario con prueba de humo automatizada y reversión inmediata ante fallos.
  • Hardening de cabeceras HTTP (Content Security Policy, HSTS, X-Frame-Options, etc.).
  • Protección contra ataques comunes: limitación de tasa por IP, validación CSRF, sanitización de entradas, codificación de salidas.

7. Inteligencia Artificial responsable

El asistente SOFÍA IA y el resto de funciones inteligentes de la plataforma operan bajo principios de IA responsable:

  • Los datos del cliente no se utilizan para entrenar modelos de terceros. Las llamadas a proveedores de IA se hacen con cláusulas contractuales que prohíben la retención y el reentrenamiento.
  • Los resultados generados por IA son orientativos; las decisiones con efectos legales o significativos siempre requieren validación humana.
  • Existe redacción automática de información personal sensible antes de enviarla a modelos externos cuando aplica.
  • El cliente puede oponerse al tratamiento automatizado de sus datos por SOFÍA escribiendo al canal de privacidad.

Mantenemos una Evaluación de Impacto en Protección de Datos (DPIA) actualizada sobre el componente de IA, conforme al Art. 35 del RGPD y la Circular Externa 002 de 2024 de la Superintendencia de Industria y Comercio (SIC) de Colombia.

8. Cumplimiento normativo

HoldingSoft+ está diseñada para apoyar a organizaciones que operan bajo marcos formales de gestión y cumplimiento. Nuestros controles están alineados con:

  • ISO/IEC 27001:2022 — Sistema de Gestión de Seguridad de la Información (controles del Anexo A en proceso de adopción formal).
  • Ley 1581 de 2012 (Colombia) y Decreto 1377 de 2013 — Habeas Data y tratamiento de datos personales.
  • Reglamento (UE) 2016/679 (RGPD) — para titulares en la Unión Europea.
  • Circular Externa 002 de 2024 SIC — sobre uso de Inteligencia Artificial con datos personales.

Para detalles sobre el tratamiento de datos personales y los derechos del titular, consulte nuestra Política de Privacidad.

9. Subprocesadores e infraestructura

HoldingSoft+ se aloja sobre Microsoft Azure, plataforma certificada en ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, FedRAMP, HIPAA y otros marcos. La región principal de procesamiento es Brasil Sur, lo que mantiene los datos dentro de Latinoamérica para clientes de la región.

Los subprocesadores con acceso potencial a datos personales (proveedores de IA, envío transaccional de correo, comunicaciones, CDN) están listados en nuestra Política de Privacidad y operan bajo Cláusulas Contractuales Tipo (SCC) o sus equivalentes según jurisdicción.

Cuando un subprocesador requiera procesamiento fuera de Latinoamérica (por ejemplo, modelos de IA en regiones de Estados Unidos o Europa), la transferencia se realiza bajo evaluación de impacto previa y con cifrado en tránsito y en reposo.

10. Gestión de incidentes y notificación de brechas

Mantenemos un procedimiento documentado de detección, contención, evaluación y notificación de incidentes de seguridad, alineado con los estándares ISO/IEC 27035 y los requisitos de notificación de Ley 1581 (Colombia, 15 días hábiles a la SIC) y RGPD (UE, 72 horas a la autoridad de control cuando aplica).

  • Notificación al cliente sin dilación indebida y, en todo caso, dentro de las 48 horas siguientes a la detección de un incidente con potencial impacto sobre sus datos.
  • Registro interno de cada incidente con causa, alcance, contención, acciones correctivas y lecciones aprendidas.
  • Canal de reporte público disponible para titulares o terceros: [email protected], asunto “Reporte de seguridad”.

11. Responsabilidades del cliente

La seguridad de la información es una responsabilidad compartida. HoldingSoft+ asegura la plataforma; el cliente es responsable de:

  • Proteger las credenciales de sus usuarios (no compartirlas, usar contraseñas robustas, cerrar sesión al terminar).
  • Mantener actualizado el listado de personas autorizadas y revocar accesos cuando alguien deja la organización.
  • Clasificar correctamente la información que carga a la plataforma y respetar los marcos legales aplicables a su industria.
  • Reportar de inmediato cualquier acceso indebido sospechoso a través del canal de seguridad indicado.
  • Exportar y resguardar localmente sus datos antes de cancelar el servicio (mantenemos los datos por 30 días tras la terminación, según la Política de Privacidad).

12. Mejora continua

Este compromiso es un documento vivo. Revisamos los controles al menos cada seis meses o ante cualquier cambio relevante de arquitectura, regulación o lecciones aprendidas de incidentes. Toda actualización material se publica con su fecha de vigencia visible al inicio de la página.

En el roadmap inmediato (segundo y tercer trimestre de 2026) está la formalización completa del Sistema de Gestión de Seguridad de la Información bajo ISO/IEC 27001:2022, con el objetivo de iniciar el proceso de certificación con un organismo acreditado.

13. Contacto de seguridad

Para reportar una vulnerabilidad, solicitar información sobre nuestros controles bajo NDA, o cualquier consulta técnica de seguridad:

  • Email: [email protected]
  • Asunto sugerido: “Seguridad — [tipo de consulta]”
  • Teléfonos: +57 (1) 675 4738 · +57 300 323 9682 (móvil/WhatsApp)
  • Horario de atención: lunes a viernes 8:00 a.m. – 5:30 p.m.; sábados 8:00 a.m. – 1:00 p.m. (hora Colombia)

Agradecemos el reporte responsable de vulnerabilidades. No iniciaremos acciones legales contra investigadores que actúen de buena fe siguiendo las prácticas de divulgación coordinada (Coordinated Vulnerability Disclosure).

HoldingSoft

Plataforma SaaS para la administración de sistemas de gestión y gestión organizacional, desarrollada por Holding Consultants.

Software por normaSoftware SG-SST ColombiaSoftware ISO 9001 CalidadSoftware ISO 14001 AmbientalSoftware ISO 45001 SSTSoftware ISO 27001 SeguridadSoftware HSEQ IntegradoSoftware Riesgo PsicosocialSG-SST por industriaSOFÍA IA — AsistenteVer todas las soluciones
Módulos (Anexo SL)OrganizaciónContextoLiderazgoPlanificaciónApoyoOperaciónEvaluación de DesempeñoMejoraVer los 8 módulos
Aplicaciones destacadasPESTELDOFAPartes InteresadasGestión DocumentalCRM ComercialAuditoríasKPIsPlan de AcciónVer todas las aplicaciones
ParaEmpresas privadasEntidades públicasÁreas de SSTConsultores y aliadosAlta dirección
RecursosBlog & guíasMultas SG-SST 2026ISO 9001 explicadaChecklist auditoríaCalculadora de multasComparativas
ContactoPlanes y preciosHolding ConsultantsSolicitar demoIniciar sesión
LegalTérminos de ServicioPolítica de PrivacidadCompromiso de Seguridad

Una solución de Holding Consultants · Estándares oficiales: ISO 9001 · ISO 14001 · ISO 45001 · ISO 27001
HoldingSoft+ — Plataforma para la administración de sistemas de gestión y gestión organizacional.© 2024- 2027 Holding Consultants. Todos los derechos reservados.