Seguridad de la Información en E-Lex
Administramos los datos jurídicos de nuestros clientes bajo los estándares de ISO/IEC 27001, el Marco de Ciberseguridad del NIST y la legislación chilena vigente, incluyendo la Ley N° 19.628 sobre Protección de la Vida Privada y la Ley N° 21.459 sobre delitos informáticos.
Gobernanza y Cumplimiento
Contamos con un Sistema de Gestión de Seguridad de la Información (SGSI) alineado con ISO/IEC 27001 y controles priorizados mediante el Marco de Ciberseguridad del NIST. Las políticas internas se revisan anualmente y se complementan con procedimientos específicos para datos personales y secretos profesionales.
- Base normativa chilena: cumplimiento estricto de la Ley N° 19.628 y sus reglamentos, además de las instrucciones del Consejo para la Transparencia aplicables a organismos privados.
- Tipificación penal: adopción de salvaguardas exigidas por la Ley N° 21.459 (Delitos Informáticos) y coordinación con el CSIRT de Gobierno para la notificación de incidentes graves.
- Due diligence: evaluación de proveedores críticos según las guías de la Comisión para el Mercado Financiero (Norma de Carácter General 461) cuando se procesan datos financieros de clientes.
Controles Técnicos y Operacionales
Los entornos de E-Lex operan sobre infraestructura redundante alojada en data centers certificados ISO/IEC 27001 dentro de la región de datos "South America (Santiago)" de Amazon Web Services. El acceso lógico se limita mediante autenticación multifactor y segmentación de redes Zero Trust.
| Dominio | Controles principales | Referencia |
|---|---|---|
| Protección de datos en tránsito y reposo | TLS 1.3 con forward secrecy; cifrado AES-256 en bases de datos y repositorios de documentos; gestión de claves con AWS KMS y rotación automática cada 90 días. | ISO 27002:2022, controles 8.24 y 8.25 |
| Gestión de identidades | Autenticación multifactor (FIDO2 + OTP), administración de privilegios con el principio de mínimo privilegio y revisión mensual de accesos. | NIST SP 800-63B; Ley N° 19.799 sobre firma electrónica |
| Monitoreo y detección | Centralización de logs en SIEM, detección de anomalías con reglas MITRE ATT&CK y alertas 24/7. | Guía CSIRT Gob. "Criterios mínimos de monitoreo" (2023) |
| Desarrollo seguro | Integración continua con escaneo SAST/DAST, revisión manual de código para componentes jurídicos y blindaje contra OWASP Top 10. | OWASP ASVS v4.0.3 |
| Respaldo y retención | Backups cifrados diarios con retención de 35 días y pruebas de restauración trimestrales. Eliminación segura conforme al artículo 12 de la Ley N° 19.628. | CMF NCG 454 (gestión operativa) |
Continuidad Operacional y Respuesta a Incidentes
Nuestro Plan de Continuidad de Negocio (BCP) incorpora escenarios de indisponibilidad física y lógica, cumpliendo con los lineamientos de la Oficina Nacional de Emergencia (ONEMI) y la Norma Técnica N° 50 de la CMF para resiliencia operativa.
- RPO/RTO: objetivo de punto de recuperación (RPO) de 4 horas y tiempo de recuperación (RTO) de 6 horas para servicios críticos.
- Gestión de incidentes: mesa de ayuda 24/7, playbooks basados en NIST SP 800-61r2 y coordinación con proveedores de telecomunicaciones certificados.
- Notificación: comunicación a afectados dentro de 48 horas en caso de filtración, conforme a lo exigido por el artículo 12 de la Ley N° 19.628 y las directrices del Consejo para la Transparencia.
Canales de Seguridad y Denuncias
Si detectas vulnerabilidades o comportamientos anómalos en nuestros servicios, agradecemos que informes con prontitud utilizando los canales oficiales. E-Lex aplica una política de divulgación responsable basada en el estándar Coordinated Vulnerability Disclosure.
- Correo dedicado: security@e-lex.cl (PGP disponible a solicitud).
- Ventana de respuesta: confirmación de recepción en 24 horas hábiles y plan de mitigación dentro de los 5 días siguientes.
- Protección al denunciante: no se ejercerán acciones legales contra investigadores que actúen de buena fe y respeten la privacidad de los datos.