Compromiso: ERP System cumple con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento. Este documento describe los controles técnicos y organizacionales implementados para proteger sus datos personales.
1. Roles en la Protección de Datos
Conforme a la LFPDPPP, los participantes en el tratamiento de datos tienen roles diferenciados:
| Rol | Entidad | Función |
|---|---|---|
| Responsable | Su empresa (cliente) | Decide sobre el tratamiento de datos de sus clientes, empleados y proveedores |
| Encargado | Intertrading Holdings | Procesa datos por cuenta del Responsable mediante la plataforma ERP |
| Titular | Persona física | Individuo cuyos datos son tratados |
Oficial de Protección de Datos
Departamento de Privacidad y Cumplimiento — privacidad@itradingh.com — Responsable de atender solicitudes ARCO, supervisar el cumplimiento de la LFPDPPP y gestionar incidentes relacionados con datos personales (Art. 30 LFPDPPP).
2. Principios de Protección de Datos
ERP System implementa los 8 principios de la LFPDPPP:
| Principio | Artículo | Implementación | Estado |
|---|---|---|---|
| Licitud | Art. 11 | Aviso de privacidad publicado; consentimiento registrado con base legal | Implementado |
| Consentimiento | Art. 12 | Registro explícito con IP, timestamp, texto mostrado, base legal, revocación | Implementado |
| Información | Art. 13 | Aviso integral + simplificado publicados sin autenticación | Implementado |
| Calidad | Art. 14 | Validación de datos en entrada; el cliente mantiene la exactitud | Implementado |
| Finalidad | Art. 15 | Finalidades documentadas: gestión administrativa, operativa, seguridad, fiscal | Implementado |
| Lealtad | Art. 16 | Datos no se procesan para fines no declarados ni se venden a terceros | Implementado |
| Proporcionalidad | Art. 17 | Solo se recopilan datos necesarios para la operación del ERP | Implementado |
| Responsabilidad | Art. 18 | Medidas técnicas y organizacionales documentadas; audit trail inmutable | Implementado |
3. Derechos ARCO
Como titular de datos personales, usted tiene derecho a:
| Derecho | Descripción | Artículo |
|---|---|---|
| Acceso | Conocer qué datos personales tenemos sobre usted y cómo se tratan | Art. 22 |
| Rectificación | Corregir datos inexactos o incompletos | Art. 23 |
| Cancelación | Solicitar la eliminación de sus datos cuando ya no sean necesarios | Art. 24 |
| Oposición | Oponerse al tratamiento de sus datos para una finalidad específica | Art. 25 |
Procedimiento para Ejercer sus Derechos
Requisitos de la Solicitud
- Nombre completo del titular
- Documento de identidad para verificación (INE/pasaporte)
- Derecho que desea ejercer (Acceso, Rectificación, Cancelación u Oposición)
- Descripción clara de los datos sobre los que ejerce el derecho
Plazos de Respuesta
| Etapa | Plazo | Fundamento |
|---|---|---|
| Acuse de recepción | 1 día hábil | Buena práctica |
| Respuesta completa | 20 días hábiles | Art. 32 LFPDPPP |
| Prórroga máxima | 20 días hábiles adicionales | Art. 32 LFPDPPP |
| Ejecución | 15 días hábiles | Art. 34 LFPDPPP |
Gratuidad: El ejercicio de sus derechos ARCO es gratuito (Art. 29 LFPDPPP). Solo se podrán cobrar costos de reproducción o envío en su caso.
4. Transferencia de Datos a Terceros
Los datos personales almacenados en el ERP no se transfieren a terceros, salvo las excepciones autorizadas conforme al Art. 37 de la LFPDPPP:
| Tercero | Finalidad | Fundamento | Protección |
|---|---|---|---|
| PAC Fiscal (Finkok) | Timbrado de CFDI 4.0 | Art. 37.II (obligación legal) | HTTPS/TLS |
| Stripe | Procesamiento de pagos | Art. 37.IV (relación contractual) | PCI DSS Level 1 |
| Google Cloud Platform | Infraestructura de hosting | Art. 37.VII (encargado) | ISO 27001, SOC 2 |
Prohibido: La venta de datos personales, el intercambio de datos entre empresas clientes (tenants), y la transferencia a países sin protección adecuada sin consentimiento explícito.
5. Medidas de Seguridad
Conforme al Art. 19 de la LFPDPPP, se implementan medidas administrativas, técnicas y físicas:
Medidas Técnicas
| Medida | Implementación |
|---|---|
| Cifrado | TLS 1.3 en tránsito + AES-256-GCM en reposo para datos sensibles |
| Control de acceso | Autenticación JWT + RBAC + aislamiento multi-tenant por empresa |
| Autenticación fuerte | Contraseñas con bcrypt (costo 12) + 2FA TOTP obligatorio para admins |
| Detección de intrusiones | Monitoreo en tiempo real con alertas automáticas por email |
| Pista de auditoría | Registros inmutables de quién, qué y cuándo se modificó cada dato |
| Respaldos | Backups automáticos diarios + recuperación punto en el tiempo |
Clasificación de Datos
| Nivel | Tipo de dato | Protección |
|---|---|---|
| Nivel 2 — Interno | Nombre, email, teléfono | Autenticación + RBAC |
| Nivel 3 — Confidencial | RFC, datos fiscales, nómina, balances | RBAC + cifrado AES-256-GCM + audit trail |
| Nivel 4 — Restringido | Contraseñas, tokens 2FA, certificados CSD | bcrypt/AES-256-GCM + acceso super_admin |
6. Gestión de Vulneraciones
En caso de vulneración de seguridad que afecte datos personales (Art. 20 LFPDPPP):
- Detección automática mediante sistema IDS y alertas en tiempo real
- Evaluación de impacto en datos personales (≤ 4 horas)
- Contención y remediación (≤ 24 horas)
- Notificación al titular sin demora injustificada
- Notificación al INAI si afecta derechos patrimoniales o morales
- Documentación completa en pista de auditoría inmutable
7. Contacto
| Departamento | Canal | Propósito |
|---|---|---|
| Privacidad y Cumplimiento | privacidad@itradingh.com | Solicitudes ARCO, consultas sobre datos personales |
| Seguridad | security@itradingh.com | Incidentes de seguridad, vulnerabilidades |
Dirección: Amores 137, CP 03103, Col. Del Valle Norte, Alcaldía Benito Juárez, Ciudad de México, México.