Resumen

Resumen: La seguridad de sus datos financieros y personales en ERP System es una responsabilidad compartida entre Google Cloud Platform (infraestructura), Intertrading Holdings (plataforma) y su empresa (usuario final). Este documento delimita las responsabilidades de cada parte.

1. Google Cloud Platform (Proveedor de Infraestructura)

GCP es responsable de la seguridad de la nube: la infraestructura física, la red global, el aislamiento de cómputo y el cifrado de almacenamiento.

Dominio Responsabilidad Certificación
Centro de datos Seguridad perimetral, vigilancia 24/7, control biométrico, redundancia eléctrica SOC 2 Type II, ISO 27001
Red global Cifrado automático entre centros de datos, protección DDoS ISO 27017, ISO 27018
Cómputo (Cloud Run) Aislamiento de contenedores con gVisor, auto-escalamiento FedRAMP High
Almacenamiento (Cloud SQL) Cifrado en reposo AES-256 transparente, backups automáticos, parches de PostgreSQL PCI DSS Level 1
Identidad (IAM) Gestión de cuentas de servicio con principio de mínimo privilegio CSA STAR Level 2

Certificaciones vigentes de GCP

ISO/IEC 27001 ISO/IEC 27017 ISO/IEC 27018 SOC 1/2/3 Type II PCI DSS Level 1 FedRAMP High CSA STAR Level 2

Las responsabilidades de infraestructura aquí descritas están garantizadas por los Términos de Servicio de Google Cloud Platform y su Addendum de Procesamiento de Datos (DPA) vigentes, aceptados por la empresa al contratar los servicios de infraestructura. Las certificaciones correspondientes (ISO 27001 / SOC 2) son validadas anualmente por terceros y están a disposición de los auditores bajo solicitud.

2. ERP System / Intertrading Holdings (Plataforma)

Intertrading Holdings es responsable de la seguridad en la nube: la aplicación, la protección de datos y la configuración de seguridad.

Cifrado de Datos

Control Implementación
Datos en tránsito TLS 1.3 obligatorio con HSTS (6 meses)
Datos en reposo AES-256-GCM con IV de 128 bits para datos sensibles (credenciales, certificados digitales)
Backups Cifrado AES-256-GCM con clave independiente
Rotación de claves Soporte de clave anterior durante periodo de transición

Autenticación y Control de Acceso

Control Implementación
Autenticación multifactor TOTP con códigos de respaldo, obligatorio para administradores
Hashing de contraseñas bcrypt con factor de costo 12
Detección de intrusiones Monitoreo en tiempo real: fuerza bruta, inyección, escaneo. Alertas automáticas por email
Control de acceso RBAC con permisos granulares + aislamiento multi-tenant por empresa
Pista de auditoría Registros inmutables de quién, qué y cuándo se modificó cada dato

Respaldo y Recuperación

RPO: ≤ 24 horas (backup diario) / ≤ 5 minutos (Cloud SQL point-in-time recovery). RTO: < 1 hora. Los backups son automáticos, cifrados y con retención configurable.

3. Su Empresa (Cliente)

Como usuario del sistema, su empresa es responsable de la seguridad de sus datos dentro de la plataforma y de sus procesos operativos.

Dominio Su Responsabilidad
Gestión de usuarios Crear, desactivar y mantener actualizada la lista de usuarios. Revocar acceso a exempleados en ≤ 24 horas
Contraseñas Utilizar contraseñas fuertes (≥ 12 caracteres). No compartir credenciales
Autenticación multifactor Activar 2FA para todos los usuarios con acceso a datos financieros
Certificados CSD Resguardo seguro de sus certificados de sello digital. Reportar compromiso inmediatamente
Dispositivos Mantener navegadores y dispositivos actualizados. No acceder desde redes públicas sin VPN
Cumplimiento fiscal Validar declaraciones fiscales antes de enviarlas al SAT
Reportar incidentes Notificar inmediatamente ante cualquier sospecha de acceso no autorizado

4. Matriz de Responsabilidades

R = Responsable   C = Consultado   I = Informado

Control GCP ERP Cliente
Seguridad física R
Cifrado de disco RI
Cifrado de datos (app) RI
Parches del SO RC
Parches de la aplicación RI
Gestión de usuarios del ERP CR
Activación de MFA CR
Monitoreo de intrusiones RI
Backups de la BD CRI
Consentimiento LFPDPPP RR
Cumplimiento fiscal (SAT) CR
Correctitud de datos contables R

5. Arquitectura de Seguridad

Internet +--> Cloud Armor (WAF + Geo-blocking + DDoS) +--> Cloud Run (Container Sandbox - gVisor) |-- Helmet.js (CSP, HSTS, X-Frame-Options) |-- Rate Limiter (300 req/min/IP) |-- IDS (fuerza bruta, inyección, escaneo) |-- JWT Auth (512-bit secrets) |-- TOTP 2FA |-- RBAC + Multi-tenant RLS +-- AES-256-GCM field encryption | |--> Cloud SQL PostgreSQL | |-- Row-Level Security | |-- Auto backup + Point-in-time | +-- AES-256 disco (GCP) | |--> Memorystore Redis (VPC-only) | +--> Secret Manager (claves, passwords)

6. Cumplimiento Regulatorio

Regulación Responsable Estado
CFF Art. 28 — Contabilidad Electrónica SAT ERP + Cliente Implementado
CFF Art. 29 — CFDI 4.0 ERP + Cliente Implementado
LFPDPPP — Protección de Datos ERP + Cliente Implementado
NOM-151 — Conservación de datos ERP Implementado
NIF — Normas de Información Financiera ERP + Cliente Implementado
ISO 27001 — Seguridad de la Información ERP Controles alineados

7. Contacto

Situación Canal
Sospecha de acceso no autorizado security@itradingh.com
Vulnerabilidad descubierta security@itradingh.com
Solicitud ARCO (LFPDPPP) privacidad@itradingh.com