Política de Seguridad de la Información

Versión: 1.0 Fecha de vigencia: 15 de abril de 2026 Propietario del documento: Oficial de Protección de Datos, Pendere S.A.S. de C.V.

El presente documento constituye el resumen ejecutivo público de la Política de Seguridad de la Información de Pendere S.A.S. de C.V. ("Pendere"), y tiene por objeto comunicar a clientes, proveedores, socios comerciales y autoridades los controles implementados para proteger la información que se nos confía.

1. Propósito

Establecer los lineamientos que Pendere observa para garantizar la confidencialidad, integridad y disponibilidad de la información de sus clientes, colaboradores, proveedores y socios comerciales; dar cumplimiento a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento, y alinear la operación con mejores prácticas reconocidas internacionalmente (ISO/IEC 27001 como marco de referencia).

2. Alcance

Esta política aplica a la totalidad de los sistemas, servicios, activos de información, procesos y personas que intervienen en la operación de Pendere, incluyendo:

• Sitios web de Pendere y sus subdominios.
• Plataforma ERP empresarial y sus módulos operativos (ventas, portal, compras y soporte).
• Integraciones con plataformas de comercio electrónico y distribuidores autorizados del sector tecnológico.
• Canales de atención al cliente (mensajería, correo electrónico, portal de soporte).
• Infraestructura propia y servicios cloud asociados.
• Personal interno, terceros y encargados del tratamiento de datos.

3. Principios rectores

• Confidencialidad: la información solo es accesible por personas autorizadas.
• Integridad: la información es exacta, completa y no puede ser alterada sin autorización.
• Disponibilidad: la información y los servicios están disponibles cuando son requeridos por los usuarios legítimos.
• Legalidad: todo tratamiento se sujeta a la LFPDPPP y la normatividad aplicable.
• Mínimo privilegio: los accesos se otorgan al nivel estrictamente necesario.
• Rendición de cuentas: todas las operaciones críticas son auditables.

4. Medidas técnicas implementadas

4.1 Cifrado y transporte seguro

• Cifrado en tránsito: protocolos TLS modernos forzados en todos los dominios, con certificados válidos y redirección HTTP→HTTPS obligatoria.
• Cifrado en reposo: cifrado a nivel de volumen en la infraestructura de almacenamiento empresarial y en la base de datos.
• Gestión de secretos: credenciales y llaves almacenadas en variables protegidas y bóvedas internas; nunca en código fuente ni en documentos compartidos.

4.2 Perímetro y red

• Firewall perimetral activo con reglas por defecto de denegación.
• Capa de protección contra DDoS y Web Application Firewall (WAF) con reglas administradas y personalizadas.
• Segmentación de red entre el entorno de producción, el secundario y las redes de administración.
• Acceso remoto de administración restringido con credenciales robustas y listas de control.

4.3 Monitoreo y respuesta automatizada

Pendere opera un esquema de monitoreo multinivel que se ejecuta de forma continua:

• Monitoreo de alta frecuencia que verifica controles críticos de disponibilidad, integridad de servicios y validez de certificados en intervalos breves, con alertas automáticas al equipo responsable.
• Auditoría diaria profunda que ejecuta verificaciones de calidad de datos, integridad de procesos automatizados y salud de integraciones, con remediación automática de inconsistencias conocidas.
• Revisión diaria de infraestructura que valida el estado de servicios y recursos operativos.

4.4 Respaldos y continuidad

• Respaldos diarios automatizados de base de datos, archivos y configuración mediante solución empresarial.
• Respaldo off-site adicional para protección ante desastres.
• Pruebas de restauración periódicas para validar la integridad de los respaldos.
• Plan de continuidad operativa documentado internamente con objetivos de RPO y RTO definidos.

4.5 Gestión de accesos y autenticación

• Autenticación individual por usuario; no se permiten cuentas compartidas en sistemas productivos.
• Política de contraseñas robustas y rotación periódica para accesos privilegiados.
• Registro de auditoría en plataformas críticas.
• Revocación inmediata de accesos al término de la relación laboral o contractual.

4.6 Desarrollo seguro

• Validación técnica automatizada previa a cada despliegue en producción.
• Control de versiones y trazabilidad de cambios.
• Separación de entornos cuando corresponde.

5. Gestión de incidentes de seguridad

Pendere cuenta con un procedimiento de respuesta a incidentes que contempla identificación, contención, erradicación, recuperación y lecciones aprendidas.

En caso de una vulneración de seguridad que afecte de manera significativa los derechos patrimoniales o morales de los titulares, Pendere notificará el incidente conforme a la LFPDPPP sin demora injustificada y, cuando sea materialmente posible, dentro de las 72 horas siguientes a su confirmación, proporcionando al titular la naturaleza del incidente, los datos comprometidos, las recomendaciones para proteger sus intereses y las acciones correctivas implementadas.

Para reportar un incidente sospechoso escriba a [email protected] con el asunto "Incidente de Seguridad".

6. Derechos del titular

El tratamiento de datos personales por parte de Pendere se rige en todo momento por el Aviso de Privacidad Integral publicado en https://pendere.net/aviso-de-privacidad, donde se detallan los derechos ARCO (Acceso, Rectificación, Cancelación, Oposición), los mecanismos para revocar consentimiento y los plazos de atención.

7. Gobernanza y revisión

• La presente política es revisada anualmente por la dirección de Pendere o cuando existan cambios normativos, tecnológicos u operativos relevantes.
• El Oficial de Protección de Datos es responsable de su cumplimiento y difusión.
• Se mantienen registros internos de los tratamientos, incidentes y solicitudes ARCO.
• Los controles documentados se someten a revisión para alinearse con los marcos de referencia (ISO/IEC 27001, LFPDPPP y su Reglamento).

8. Contacto del Oficial de Protección de Datos

Pendere S.A.S. de C.V. Oficial de Protección de Datos Correo para asuntos de datos personales: [email protected] Correo de contacto general: [email protected] Sitio: https://pendere.net

9. Documentos relacionados

• Aviso de Privacidad Integral (https://pendere.net/aviso-de-privacidad)
• Términos y Condiciones de Uso (pendere.net)
• Política de Devoluciones (https://pendere.net/devoluciones)

Firma

Firmado en la Ciudad de México el 15 de abril de 2026.

Pendere S.A.S. de C.V. Oficial de Protección de Datos Contacto: [email protected]