NexoISP Logo
Volver al inicio

Política de Seguridad de la Información

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

Versión 1.0

Última actualización: 08/06/2026

Aplicable a: NEXOISP S.A.S.

1. PROPÓSITO

NEXOISP S.A.S. ("NexoISP") reconoce que la seguridad de la información constituye un elemento fundamental para la prestación de servicios de software, automatización e inteligencia artificial dirigidos a Proveedores de Servicios de Internet (ISP).

La presente Política establece los principios y controles generales utilizados para proteger la confidencialidad, integridad, disponibilidad y resiliencia de la información procesada por la plataforma.

2. ALCANCE

Esta Política aplica a:

  • Infraestructura tecnológica de NexoISP.
  • Sistemas de información.
  • Aplicaciones.
  • APIs.
  • Agentes de Inteligencia Artificial.
  • Bases de datos.
  • Servicios cloud.
  • Empleados.
  • Contratistas autorizados.
  • Proveedores críticos.

3. PRINCIPIOS DE SEGURIDAD

NexoISP basa su programa de seguridad en los siguientes principios:

Confidencialidad

La información debe ser accesible únicamente para personas autorizadas.

Integridad

La información debe mantenerse exacta, consistente y protegida contra modificaciones no autorizadas.

Disponibilidad

Los sistemas deben permanecer accesibles dentro de los niveles comprometidos en el SLA.

Responsabilidad

Las acciones relevantes deben poder ser auditadas y rastreadas.

Minimización

Solo se recopilará y procesará la información necesaria para la prestación del servicio.

4. GESTIÓN DE ACCESOS

NexoISP implementa controles razonables para limitar el acceso a la información.

Estos controles pueden incluir:

  • Gestión de identidades.
  • Control basado en roles (RBAC).
  • Principio de mínimo privilegio.
  • Segregación de funciones.
  • Revisión periódica de permisos.

El acceso a sistemas críticos será restringido únicamente al personal autorizado.

5. AUTENTICACIÓN

NexoISP podrá implementar mecanismos de autenticación tales como:

  • Contraseñas seguras.
  • Autenticación multifactor (MFA).
  • Tokens de acceso.
  • Sistemas de federación de identidad.

Los usuarios son responsables de proteger sus credenciales y mantenerlas confidenciales.

6. CLASIFICACIÓN DE LA INFORMACIÓN

NexoISP emplea un modelo de clasificación para aplicar niveles de protección proporcionales a la sensibilidad de los datos:

TipoSensibilidadEjemplo de Información
PúblicaBajaContenido del blog, documentación general.
InternaMediaManuales operativos, comunicaciones internas.
ConfidencialAltaConfiguraciones de red del ISP, bases de abonados, facturación.
RestringidaMuy AltaCredenciales de acceso, llaves de cifrado, tokens de API.

7. PROTECCIÓN DE DATOS

NexoISP adopta medidas razonables para proteger la información almacenada y procesada dentro de la plataforma.

Estas medidas pueden incluir:

  • Cifrado en tránsito.
  • Cifrado en reposo.
  • Segmentación de servicios.
  • Controles de acceso.
  • Monitoreo de actividades.

8. CIFRADO

Siempre que resulte técnicamente viable, NexoISP utilizará mecanismos modernos de cifrado para proteger la información.

Esto puede incluir:

Datos en tránsito

  • TLS
  • HTTPS

Datos almacenados

  • Cifrado de bases de datos
  • Cifrado de respaldos
  • Gestión segura de secretos

9. SEGURIDAD DE INFRAESTRUCTURA

La infraestructura utilizada por NexoISP podrá incorporar medidas tales como:

  • Firewalls.
  • Segmentación de red.
  • Protección DDoS.
  • Monitoreo de eventos.
  • Gestión de vulnerabilidades.
  • Sistemas de detección de anomalías.

10. SEGURIDAD DE APLICACIONES

Durante el desarrollo y mantenimiento del software, NexoISP procurará aplicar prácticas de desarrollo seguro.

Estas pueden incluir:

  • Revisión de código.
  • Validación de entradas.
  • Gestión de dependencias.
  • Pruebas de seguridad.
  • Corrección de vulnerabilidades identificadas.

11. SEGURIDAD DE INTELIGENCIA ARTIFICIAL

Dado que NexoISP incorpora sistemas de IA, se adoptarán medidas razonables para proteger:

  • Modelos.
  • Agentes Autónomos.
  • Flujos de automatización.
  • Bases de conocimiento.
  • Datos utilizados para entrenamiento.

NexoISP procurará mitigar riesgos asociados con:

  • Acceso no autorizado.
  • Manipulación de modelos.
  • Envenenamiento de datos.
  • Uso indebido de automatizaciones.

12. REGISTROS Y AUDITORÍA

NexoISP podrá mantener registros de auditoría relacionados con:

  • Accesos.
  • Eventos de seguridad.
  • Cambios relevantes.
  • Actividades administrativas.
  • Operaciones críticas.

Estos registros podrán utilizarse para:

  • Investigación de incidentes.
  • Cumplimiento normativo.
  • Mejora continua.

13. GESTIÓN DE VULNERABILIDADES

NexoISP procurará identificar y corregir vulnerabilidades de seguridad mediante procesos razonables de:

  • Monitoreo.
  • Evaluación de riesgos.
  • Actualización de software.
  • Gestión de parches.

La prioridad de corrección dependerá de la criticidad identificada.

14. RESPUESTA A INCIDENTES

NexoISP mantiene procedimientos internos para gestionar incidentes de seguridad.

Estos procedimientos podrán incluir:

Identificación

Detección y clasificación del incidente.

Contención

Reducción del impacto potencial.

Investigación

Análisis de causas y alcance.

Remediación

Implementación de acciones correctivas.

Aprendizaje

Mejora continúa basada en incidentes ocurridos.

15. NOTIFICACIÓN DE INCIDENTES

Cuando resulte apropiado y legalmente exigible, NexoISP podrá notificar a los Clientes sobre incidentes de seguridad que afecten significativamente la confidencialidad, integridad o disponibilidad de la información.

La notificación podrá incluir:

  • Descripción general del incidente.
  • Alcance conocido.
  • Medidas implementadas.
  • Recomendaciones aplicables.

16. COPIAS DE SEGURIDAD

NexoISP realiza respaldos periódicos orientados a proteger la continuidad operativa.

Las copias de seguridad podrán utilizarse para:

  • Recuperación ante fallos.
  • Recuperación ante desastres.
  • Restauración de servicios.

La frecuencia y retención podrán variar según la arquitectura tecnológica utilizada.

17. CONTINUIDAD DEL NEGOCIO

NexoISP procura implementar medidas razonables destinadas a preservar la continuidad de los servicios.

Estas medidas pueden incluir:

  • Redundancia de infraestructura.
  • Procedimientos de recuperación.
  • Monitoreo continuo.
  • Gestión de incidentes.

18. SEGURIDAD DE PROVEEDORES

NexoISP podrá apoyarse en proveedores especializados para prestar determinados servicios.

Cuando resulte apropiado, dichos proveedores serán evaluados considerando aspectos relacionados con:

  • Seguridad.
  • Disponibilidad.
  • Cumplimiento.
  • Protección de datos.

La lista actualizada de proveedores relevantes se encuentra disponible en la Lista Pública de Subprocesadores.

19. RESPONSABILIDADES DEL CLIENTE

Los Clientes son responsables de:

  • Proteger sus credenciales.
  • Mantener configuraciones seguras.
  • Gestionar adecuadamente los accesos internos.
  • Revisar permisos otorgados.
  • Cumplir con sus propias políticas de seguridad.

La seguridad constituye una responsabilidad compartida.

20. CAPACITACIÓN Y CONCIENTIZACIÓN

NexoISP promoverá prácticas de seguridad entre empleados, contratistas y colaboradores autorizados mediante actividades de capacitación y actualización cuando resulte apropiado.

21. CUMPLIMIENTO Y HOJA DE RUTA

NexoISP revisará periódicamente sus prácticas de seguridad para mejorar su alineación con:

  • Requisitos legales aplicables.
  • Necesidades del negocio.
  • Evolución tecnológica.
  • Riesgos emergentes.

Próximos Pasos (Roadmap de Certificaciones)

Para asegurar a nuestros clientes el nivel más alto de garantías operativas, NexoISP evalúa la adopción progresiva de marcos de seguridad empresariales:

  • ISO 27001 (Planeado)
  • Controles alineados con NIST Cybersecurity Framework (En progreso)
  • SOC 2 Tipo I y II (Evaluación futura)

Nota: La inclusión en esta hoja de ruta indica la dirección estratégica de NexoISP y no constituye una garantía de plazos de certificación.

22. LIMITACIONES

Aunque NexoISP implementa medidas razonables de protección, ningún sistema puede garantizar seguridad absoluta.

La presente Política describe compromisos y prácticas generales, pero no constituye una garantía de inmunidad frente a todas las amenazas existentes o futuras.

23. MODIFICACIONES

NexoISP podrá actualizar esta Política para reflejar:

  • Nuevos controles.
  • Cambios regulatorios.
  • Mejoras tecnológicas.
  • Evolución de riesgos.

La versión vigente estará permanentemente disponible en el sitio web oficial.

24. CONTACTO

NEXOISP S.A.S.

Correo de Seguridad: security@nexoisp.com

Correo de Privacidad: privacidad@nexoisp.com

Correo Legal: legal@nexoisp.com

Sitio web: https://nexoisp.com