Anexo de Seguridad Reforzada

Cuándo aplica

Este Anexo aplica cuando el proyecto involucra:

• Datos financieros, bancarios o tributarios
• Secretos industriales o comerciales
• Información clasificada como "confidencial" por el Cliente
• Bases de datos con más de 10,000 registros de personas

Relación con otros documentos

Complementa el DPA y el Contrato de Servicio. No contradice las medidas estándar; las refuerza para proyectos sensibles.

Además de las medidas estándar del Aviso de Privacidad, LogicMind implementará:

a) Cifrado reforzado

• Base de datos: AES-256
• Transmisión: TLS 1.3 con Perfect Forward Secrecy

b) Autenticación multifactor obligatoria

• Para todo el equipo con acceso a datos de producción
• Rotación de credenciales cada 90 días

c) Segregación de ambientes

• Desarrollo: Datos 100% ficticios (nunca datos reales)
• Staging: Datos anonimizados o subset mínimo
• Producción: Solo personal autorizado

d) Logs de auditoría

• Registro de cada acceso a datos sensibles
• Conservación: 12 meses
• Formato inmutable con timestamp

e) Backup cifrado

• Backups cifrados con clave distinta a producción
• Restauración requiere aprobación documentada

a) Equipo de acceso limitado

• Máximo 2 desarrolladores senior con acceso a producción
• NDA individual firmado con cláusula penal específica

b) Principio de mínimo privilegio

• Acceso just-in-time (solo cuando sea necesario)
• Sesiones de máximo 4 horas, luego re-autenticación

c) Revisión de código

Todo código que acceda a datos sensibles requiere aprobación de segundo desarrollador senior.

d) Prohibición de redes públicas

Prohibido trabajar desde redes públicas (cafeterías, aeropuertos). VPN corporativa obligatoria cuando aplique.

Notificación acelerada

Al Cliente: máximo 12 horas desde el conocimiento del incidente (vs 72h estándar del DPA). Al INAI: dentro del plazo legal aplicable.

Plan de contención

• Procedimiento escrito de respuesta a incidentes
• Preservación de evidencia e informe técnico detallado al Cliente

Responsabilidad

En caso de negligencia grave en la implementación de estas medidas, falta de notificación oportuna o uso no autorizado de datos por personal de LogicMind, no aplica el límite de responsabilidad de la Sección 9 del Contrato de Servicio para los daños directamente causados.

a) Auditoría remota (sin costo)

• Revisión de logs de acceso
• Validación de medidas implementadas
• Frecuencia: trimestral o bajo demanda razonable

b) Auditoría presencial (costo a negociar)

• Visita a instalaciones de LogicMind
• Notificación previa: 5 días hábiles

c) Auditoría por tercero independiente

Auditor certificado ISO 27001 u equivalente; costo compartido según acuerdo.

Al terminar el contrato, LogicMind entregará:

• Certificado de eliminación de datos con firma del responsable
• Detalle del método de eliminación (sobrescritura según mejores prácticas)
• Confirmación de eliminación de backups