Ciberseguridad en la Nube Fiscal
Los Datos Fiscales son Datos Sensibles
Una factura electrónica contiene mucho más que un monto y una fecha: incluye el RNC del emisor y receptor, el detalle de los bienes o servicios, los descuentos negociados y, en algunos casos, información de precios que puede ser estratégicamente sensible. En el contexto de la Ley 172-13 sobre Protección de Datos Personales de la República Dominicana, estos datos están sujetos a obligaciones de confidencialidad y seguridad.
Cuando una empresa migra su plataforma de facturación a la nube —en nuestro caso, Azure— debe garantizar que los datos estén protegidos tanto en tránsito como en reposo, y que solo los servicios autorizados puedan acceder a ellos.
Cifrado en Tránsito
Toda comunicación con la API de ECF SSD utiliza TLS 1.3. No se aceptan conexiones con versiones anteriores del protocolo. Los certificados del servidor están emitidos por una CA pública reconocida y se renuevan automáticamente. Para las empresas que operan detrás de firewalls corporativos, se recomienda fijar el fingerprint del certificado (certificate pinning) en el cliente de integración para detectar ataques de intermediario (MITM).
Cifrado en Reposo
En Azure, los datos se almacenan con Azure Storage Service Encryption (SSE) usando claves gestionadas por el cliente (CMK) almacenadas en Azure Key Vault. Esto significa que incluso Microsoft no puede descifrar los datos sin acceso a las claves del cliente. La rotación de claves se programa trimestralmente y se audita en el registro de actividad de Key Vault.
La base de datos transaccional (Azure SQL) usa Transparent Data Encryption (TDE) con CMK. Los backups automáticos también se cifran con la misma clave, garantizando que una copia de seguridad robada sea inutilizable sin las credenciales del Key Vault.
Gestión de Acceso e Identidad
El principio de menor privilegio se aplica a todos los servicios. El microservicio de facturación solo tiene permisos de lectura/escritura en su propia base de datos y de lectura en el Key Vault para obtener los certificados. No tiene acceso a buckets de almacenamiento de otras aplicaciones ni a bases de datos de otros módulos.
Las auditorías de seguridad semestrales incluyen pruebas de penetración sobre los endpoints de la API. Los reportes de estas pruebas están disponibles para los clientes enterprise bajo NDA como parte del programa de transparencia de seguridad de SSD.