Política de Seguridad

1 Alcance y principios

Esta Política de Seguridad aplica a todos los usuarios, creadores y personal autorizado que utilicen “Tefri”. Nos guiamos por los principios de mínimos privilegios, defensa en profundidad y privacidad por diseño.

2 Infraestructura y hospedaje

• Servicios desplegados en proveedores con estándares de seguridad reconocidos.
• Separación de entornos (desarrollo/pruebas/producción) y controles de acceso independientes.
• Actualizaciones y parches de seguridad aplicados de forma periódica y priorizada.

3 Cifrado y comunicaciones

• En tránsito: todo el tráfico se protege con HTTPS (TLS).
• En reposo (cuando aplica): cifrado a nivel de base de datos/volumen y claves gestionadas con rotación programada.
• Políticas de HSTS y medidas para mitigar ataques comunes (XSS, CSRF) a nivel de aplicación.

4 Gestión de identidades y accesos

• Autenticación con contraseñas robustas; recomendamos 2FA cuando esté disponible.
• Principio de mínimos privilegios y separación de funciones para el personal operativo.
• Sesiones con expiración, revocación ante actividad sospechosa y bloqueo progresivo por intentos fallidos.

5 Pagos y conciliación

• Pagos procesados por Tigo Money y Bancard en sus pasarelas seguras.
• No almacenamos datos completos de tarjetas ni credenciales de medios de pago de los aportantes.
• Conciliación y registros de transacciones para auditoría y resolución de disputas.

6 Registros, monitoreo y alertas

• Bitácoras de eventos relevantes (accesos, cambios críticos, operaciones de pagos).
• Alertas ante patrones anómalos y revisión periódica de logs por el equipo autorizado.

7 Continuidad y recuperación

• Backups automáticos con retención definida y pruebas de restauración periódicas.
• Plan de continuidad que prioriza la integridad de datos y la recuperación del servicio.

8 Gestión de vulnerabilidades

• Inventario de dependencias y parches de seguridad aplicados con prioridad por criticidad.
• Canal de divulgación responsable para reportes de fallas (ver contacto más abajo).

9 Protección de datos personales (Paraguay)

Tratamos los datos personales conforme a la normativa paraguaya aplicable y buenas prácticas internacionales. Solo recolectamos la información necesaria para operar la plataforma y cumplir obligaciones legales/contractuales. Los titulares de datos pueden ejercer sus derechos de acceso, actualización, rectificación y supresión contactándonos por los canales disponibles.

10 Retención y eliminación

• Conservamos datos el tiempo necesario para la prestación del servicio y cumplimiento de obligaciones legales.
• A solicitud y cuando sea legalmente procedente, eliminamos o anonimizamos la información.

11 Menores de edad

La plataforma está dirigida a mayores de edad. Si detectamos cuentas de menores sin autorización válida, restringiremos su uso y gestionaremos la eliminación de datos según corresponda.

12 Uso aceptable y contenidos prohibidos

Se prohíbe el uso para actividades ilícitas, fraude, incitación a la violencia, discriminación, explotación sexual, violación de propiedad intelectual y cualquier conducta contraria a la ley y a nuestros Términos.

13 Respuesta a incidentes

• Clasificación por severidad, contención, erradicación, recuperación y lecciones aprendidas.
• Notificación a usuarios afectados cuando resulte pertinente y conforme a la normativa aplicable.

14 Cambios en esta política

Podremos actualizar esta política para reflejar mejoras técnicas, cambios normativos o de negocio. Publicaremos la fecha de última actualización y, si el cambio es sustancial, avisaremos por los medios habituales.

15 Contacto de seguridad y reportes

---

Nota legal: Este documento resume medidas y prácticas generales. No constituye asesoría legal. Recomendamos a creadores y organizaciones consultar con su asesor para obligaciones específicas en Paraguay.