Volver al inicio
Anexo 1.1 — DGII Julio 2025

Política de Seguridad de la Información

Vigente desde: Enero 2025 · Última revisión: Julio 2025

Este documento define los controles formales de seguridad de la información adoptados por TotalizaPos como Proveedor de Servicios de Facturación Electrónica, conforme a los requisitos de autorización y certificación de la Dirección General de Impuestos Internos (DGII).

1. Objetivo

Establecer los lineamientos de seguridad que garantizan la confidencialidad, integridad y disponibilidad de la información procesada en la plataforma de facturación electrónica, protegiendo los datos fiscales y personales de los contribuyentes.

2. Alcance

Aplica a todos los sistemas, procesos, datos y personal involucrado en la prestación del servicio de facturación electrónica e-CF, incluyendo infraestructura, aplicaciones, bases de datos y comunicaciones.

3. Controles de Seguridad Implementados

Autenticación segura
Contraseñas cifradas con bcrypt. Autenticación de dos factores (2FA) disponible para todos los usuarios mediante TOTP (Google Authenticator / Authy).
Cifrado de datos sensibles
Datos sensibles (contraseñas de certificados, tokens de API) cifrados en reposo usando AES-256.
Auditoría y trazabilidad
Registro inmutable de todas las acciones del sistema: creaciones, modificaciones, eliminaciones, inicios de sesión y cambios de configuración.
Comunicaciones seguras
Todo el tráfico se transmite sobre HTTPS/TLS 1.2+. Las comunicaciones con la DGII utilizan certificados digitales PKI.
Control de acceso basado en roles
Sistema de roles y permisos granulares (admin, contador, usuario). Acceso mínimo necesario por función.
Respaldo de información
Backups automáticos programables (diario/semanal/mensual) con política de retención configurable y almacenamiento seguro.
Protección de inyecciones
Uso de ORM con consultas parametrizadas. Protección CSRF en todos los formularios. Validación estricta de entradas.

4. Responsabilidades

La Dirección General es responsable de aprobar esta política y asignar los recursos necesarios para su implementación. El equipo técnico es responsable de aplicar los controles definidos. Todos los usuarios están obligados a cumplir esta política y reportar incidentes de seguridad.

5. Gestión de Incidentes

Ante un incidente de seguridad, el tiempo de respuesta inicial es de máximo 4 horas hábiles. Los incidentes críticos se notifican a los afectados en un plazo no mayor de 72 horas conforme a la Ley 172-13.

6. Revisión

Esta política se revisa anualmente o ante cambios significativos en la infraestructura o normativa aplicable.

© 2026 TotalizaPos · Documento: Anexo 1.1 DGII Ver todos los documentos