Declaración de Seguridad de la Información
Temoche Consulting mantiene un programa interno de seguridad de la información alineado a ISO/IEC 27001:2022 y a la normativa peruana aplicable (Ley 29733 y su Reglamento; Directiva de Seguridad de la Información, Resolución Directoral 019-2013-JUS/DGPDP). Esta declaración describe nuestros compromisos públicos y canales.
Alcance
Esta declaración aplica a la infraestructura propia de Temoche Consulting (sitio web, herramientas internas de colaboración, repositorios de trabajo) y al ciclo de vida del proyecto cuando Temoche Consulting actúa como encargada del tratamiento por cuenta de un cliente.
Compromisos públicos
- Evaluaciones de riesgo internas periódicas y revisión por la dirección.
- Control de accesos bajo principios de mínimo privilegio y necesidad de conocer.
- Protocolo de gestión de incidentes con escalamiento interno y notificación al cliente dentro de los SLA contractuales.
- Cifrado en tránsito (TLS 1.2+) y en reposo para los activos de datos sensibles.
- Gestión segura de repositorios con trazabilidad de auditoría sobre todos los artefactos de trabajo.
- Protocolos de continuidad que incluyen respaldo, custodia y consultor de respaldo designado por proyecto.
Este sitio web: postura de seguridad
El sitio público está alojado de forma estática en una plataforma de borde con robustecimiento de seguridad: HTTPS obligatorio, cabeceras de seguridad modernas (incluida una Content Security Policy estricta), aislamiento de origen y desactivación de las capacidades del navegador que no utilizamos. La configuración específica se mantiene reservada y se revisa de forma periódica.
Divulgación responsable
Aceptamos reportes de vulnerabilidades de seguridad que afecten nuestra infraestructura pública. Reporta los hallazgos de forma privada a legal@temocheconsulting.com con el asunto "Seguridad · Divulgación responsable" y una breve descripción del problema.
Por favor no explotes los hallazgos más allá de lo estrictamente necesario para demostrar la vulnerabilidad. No operamos un programa de bug-bounty a la fecha; el reconocimiento se ofrece a solicitud y nunca incluye recompensa monetaria salvo que se anuncie un programa formal.
Canal legible por máquina
Publicamos un archivo de contacto de seguridad legible por máquina conforme a la
RFC 9116
en /.well-known/security.txt.
Fuera de alcance
- Ingeniería social contra personal de Temoche Consulting o sus clientes.
- Pruebas de seguridad física de cualquier oficina o instalación.
- Pruebas de denegación de servicio o volumétricas.
- Pruebas contra la infraestructura de proyectos de clientes (fuera de nuestra autoridad).
Para clientes con proyecto activo
La arquitectura de seguridad detallada, el plan de respuesta a incidentes, las trazas de auditoría y los certificados de seguros se comparten bajo NDA durante la fase de propuesta. La Política de Seguridad de la Información aplicable a un proyecto específico se referencia en el Statement of Work.