Políticas de Seguridad

Cómo protegemos tu información en la plataforma GRC360

Última actualización: 5 de marzo de 2026

En GRC360, operada por Tucadis, la seguridad de la información de nuestros clientes es una prioridad fundamental. Esta política describe las medidas técnicas y organizativas que implementamos para proteger tus datos.

1. Alcance

Esta Política de Seguridad aplica a toda la información procesada, almacenada y transmitida a través de la plataforma GRC360, incluyendo:

  • Datos de cuenta y credenciales de Usuarios.
  • Documentos, registros y evidencias cargados por los Clientes.
  • Evaluaciones de riesgo, auditorías y planes de acción.
  • Datos personales de empleados, proveedores y partes interesadas del Cliente.
  • Información de facturación y suscripción.

2. Marco Normativo

Nuestras prácticas de seguridad se alinean con los siguientes marcos normativos y estándares:

  • Ley 19.628 — Sobre Protección de la Vida Privada (Chile).
  • Ley 21.719 — Sobre Protección de Datos Personales (Chile, en proceso de implementación).
  • ISO/IEC 27001:2022 — Sistema de Gestión de Seguridad de la Información (referencia de mejores prácticas).
  • GDPR — Reglamento General de Protección de Datos de la UE (principios adoptados como referencia).

3. Aislamiento de Datos

GRC360 garantiza el aislamiento completo de los datos de cada empresa cliente:

  • Cada registro de datos está asociado a un identificador único por empresa, asegurando la separación lógica de la información.
  • Se aplican filtros automáticos que garantizan que cada usuario solo pueda ver y manipular datos de su propia organización.
  • Los mecanismos de aislamiento operan en todas las operaciones de lectura, escritura, actualización y eliminación.
  • Cada solicitud al sistema pasa por verificaciones de seguridad que validan la identidad y pertenencia organizacional del usuario.
  • Se realizan auditorías periódicas para verificar que no existan accesos indebidos a datos entre organizaciones.

4. Controles de Seguridad

Implementamos las siguientes medidas de protección:

Comunicaciones

  • Cifrado en tránsito: Todas las comunicaciones entre el navegador del usuario y la plataforma están cifradas mediante protocolos seguros de cifrado.
  • Cookies seguras: Las cookies de sesión están configuradas con los más altos estándares de seguridad para prevenir accesos no autorizados.

Autenticación y Autorización

  • Contraseñas: Se almacenan de forma segura mediante algoritmos de cifrado robustos. Nunca se almacenan en texto plano.
  • Control de acceso: Sistema de roles y permisos granulares que permite definir accesos específicos por módulo y acción.
  • Protección contra accesos indebidos: Mecanismos de limitación de intentos de inicio de sesión para prevenir accesos no autorizados.

Protección de la Aplicación

  • Protección de formularios: Mecanismos de seguridad que previenen el envío de solicitudes fraudulentas o no autorizadas.
  • Protección de datos: Uso de consultas seguras que previenen la inyección de comandos maliciosos o la manipulación de la información almacenada.
  • Prevención de scripts maliciosos: Mecanismos que impiden la ejecución de código no autorizado en la interfaz de usuario.
  • Registro de auditoría: Registro de acciones críticas (inicio de sesión, cambios de datos, eliminaciones) con identificación de usuario, dirección de origen y fecha/hora.

5. Gestión de Acceso

  • El personal de Tucadis tiene acceso a la infraestructura y datos de clientes de forma excepcional y auditada, únicamente cuando es necesario para la operación, soporte técnico o resolución de incidentes.
  • Todo el personal con acceso a datos está sujeto a acuerdos de confidencialidad (NDA).
  • Se aplica el principio de mínimo privilegio: cada persona tiene acceso solo a lo estrictamente necesario para sus funciones.
  • Los Clientes gestionan los accesos de sus Usuarios mediante un sistema de roles y permisos granulares configurable desde la plataforma.

6. Copias de Respaldo

  • Frecuencia: Se realizan copias de respaldo diarias de los datos y archivos de la plataforma.
  • Retención: Los respaldos se mantienen por un período de 30 días.
  • Objetivo de recuperación: En caso de desastre, el objetivo es minimizar la pérdida de datos y restaurar el servicio en el menor tiempo posible.
  • Los respaldos son gestionados conforme a estándares de seguridad de la industria.

7. Retención y Eliminación de Datos

  • Datos activos: Se mantienen mientras el contrato de servicio esté vigente.
  • Tras cancelación: El Cliente dispone de 30 días para exportar sus datos.
  • Eliminación gradual: Los registros eliminados por el usuario se mantienen recuperables por un período limitado antes de su eliminación definitiva.
  • Purga definitiva: Transcurridos 90 días desde la cancelación, se realiza la eliminación definitiva e irreversible de todos los datos del Cliente.
  • Las solicitudes de eliminación anticipada pueden realizarse a través de info@grc360.cl.

8. Derechos del Titular de Datos

Tus derechos sobre tus datos personales

Como titular de datos personales, tienes derecho a:

  • Acceder a tus datos personales almacenados en la plataforma.
  • Rectificar datos inexactos o desactualizados.
  • Eliminar tus datos personales cuando ya no sean necesarios.
  • Exportar tus datos en formato estructurado y de uso común.
  • Oponerte al tratamiento de tus datos en circunstancias específicas.
  • Limitar el tratamiento de tus datos mientras se resuelve una reclamación.

Ejerce tus derechos a través de nuestro formulario dedicado:

Formulario de Solicitud ARCO

9. Gestión de Incidentes de Seguridad

En caso de un incidente de seguridad que afecte datos personales:

  • Notificación: Los Clientes afectados serán notificados dentro de las 72 horas siguientes al descubrimiento del incidente.
  • Reporte a autoridad: Se notificará a la autoridad de protección de datos competente cuando sea legalmente requerido.
  • La notificación incluirá: naturaleza del incidente, datos potencialmente afectados, medidas adoptadas y recomendaciones para el Cliente.
  • Se mantendrá un registro interno de todos los incidentes de seguridad con su análisis de causa raíz y acciones correctivas.

Canal de reporte: Si detectas una vulnerabilidad o incidente de seguridad, repórtalo a info@grc360.cl. Valoramos la divulgación responsable.

10. Proveedores Terceros

Para la operación de GRC360, Tucadis utiliza proveedores de servicios de terceros en las siguientes categorías:

  • Infraestructura y alojamiento: Servicios de hosting para el almacenamiento y procesamiento de los datos de la plataforma.
  • Procesamiento de pagos: Pasarela de pagos certificada para el cobro seguro de suscripciones, que cumple con estándares internacionales de seguridad en transacciones.
  • Comunicaciones: Servicios de correo electrónico para el envío de notificaciones del sistema.
  • Automatización: Servicios auxiliares para la ejecución de tareas programadas de mantenimiento.

Todos los proveedores son seleccionados considerando sus prácticas de seguridad y protección de datos. Tucadis mantiene acuerdos con estos proveedores que incluyen cláusulas de confidencialidad y protección de datos. La información detallada de proveedores específicos puede ser solicitada a info@grc360.cl.

11. Continuidad del Servicio

Tucadis mantiene un plan de continuidad basado en:

  • Respaldos diarios de datos y archivos, con retención de 30 días.
  • Monitoreo de disponibilidad del servicio.
  • Comunicación proactiva a los Clientes en caso de interrupciones significativas, mediante correo electrónico y/o notificaciones en la plataforma.
  • Procedimientos documentados de restauración y recuperación ante desastres.

12. Actualizaciones de esta Política

Tucadis se reserva el derecho de actualizar esta Política de Seguridad. En caso de cambios sustanciales:

  • Los Clientes serán notificados con al menos 30 días de anticipación mediante correo electrónico.
  • La versión actualizada se publicará en esta misma página con la nueva fecha de actualización.
  • Se mantendrá un historial de versiones disponible previa solicitud.

13. Contacto

Para consultas sobre seguridad y protección de datos:

Correo de contacto: info@grc360.cl
Ver Términos y Condiciones Ejercer Derechos ARCO