Anexo 1.1 Documentación DGII — Proveedores de Facturación Electrónica

Política de Seguridad de la Información

Última actualización: 10 de abril de 2026 · SSD Smart Software Development SRL (RNC: 131460941)

1. Objetivo

Establecer los lineamientos y controles de seguridad de la información que rigen la plataforma ECF SSD, garantizando la confidencialidad, integridad y disponibilidad de los datos fiscales procesados conforme a los requerimientos de la Dirección General de Impuestos Internos (DGII) de la República Dominicana.

2. Alcance

Esta política aplica a toda la infraestructura, sistemas, procesos y personal involucrado en la operación de la plataforma ECF SSD, incluyendo:

  • Servidores y servicios en la nube (Microsoft Azure)
  • Bases de datos PostgreSQL con Row-Level Security (RLS)
  • APIs de emisión, recepción y consulta de E-CF
  • Certificados digitales y llaves criptográficas
  • Integraciones con servicios de la DGII
  • Personal técnico y administrativo

3. Controles de Acceso

  • Autenticación: AWS Cognito con soporte de MFA (TOTP), OAuth 2.0 y autenticación federada (Google).
  • Autorización: Modelo de roles (administrador, usuario estándar) con políticas basadas en claims JWT.
  • API Keys: Tokens JWT con expiración configurable (máximo 5,000 días), revocables en cualquier momento.
  • Aislamiento de datos: Row-Level Security (RLS) en PostgreSQL garantiza que cada tenant solo accede a sus propios datos.
  • Principio de mínimo privilegio: Cada servicio (API, Worker, Receptor) opera con roles de base de datos con permisos estrictamente limitados.

4. Cifrado y Protección de Datos

  • En tránsito: TLS 1.2+ para todas las comunicaciones (HTTPS obligatorio).
  • En reposo: Cifrado AES-256 en bases de datos y almacenamiento de archivos (Azure Storage).
  • Firma digital: Los comprobantes E-CF se firman con certificados digitales X.509 emitidos por entidades autorizadas por la DGII.
  • Certificados: Los archivos .p12 de los clientes se almacenan cifrados y nunca se exponen a través de las APIs.
  • Secretos: Webhooks soportan firma HMAC-SHA256 para verificación de autenticidad.

5. Seguridad de Infraestructura

  • Proveedor cloud: Microsoft Azure (regiones con certificación SOC 2 Type II, ISO 27001).
  • Contenedores: Aplicaciones desplegadas en Azure Container Apps con imágenes escaneadas por vulnerabilidades.
  • Red: Virtual Networks con Network Security Groups, sin exposición directa de bases de datos a Internet.
  • WAF: Azure Front Door con Web Application Firewall para protección contra OWASP Top 10.
  • DDoS: Protección contra ataques de denegación de servicio mediante Azure DDoS Protection.

6. Monitoreo y Auditoría

  • Logging centralizado: Seq para agregación y búsqueda de logs estructurados.
  • Trazabilidad: OpenTelemetry para distributed tracing de todas las operaciones E-CF.
  • Métricas: Contadores y histogramas para volumen de operaciones, latencia y errores.
  • Alertas: Notificaciones automáticas ante anomalías, errores de procesamiento o intentos de acceso no autorizado.
  • Retención: Logs de auditoría retenidos por un mínimo de 10 años conforme a la normativa fiscal.

7. Gestión de Vulnerabilidades

  • Escaneo automático de dependencias con herramientas de análisis de composición de software (SCA).
  • Actualizaciones de seguridad aplicadas dentro de las 72 horas siguientes a la publicación de parches críticos.
  • Revisión de código como parte del proceso de desarrollo (pull requests con revisión obligatoria).
  • Pruebas de penetración periódicas realizadas por terceros independientes.

8. Gestión de Incidentes

En caso de incidente de seguridad:

  • Detección: Sistemas automatizados de detección de intrusiones y anomalías.
  • Respuesta: Equipo de respuesta activado dentro de las primeras 2 horas.
  • Notificación: Comunicación a usuarios afectados dentro de las 72 horas, conforme a la Ley 172-13.
  • Post-mortem: Análisis de causa raíz y plan de remediación documentado.

9. Capacitación

Todo el personal con acceso a sistemas de producción recibe capacitación en seguridad de la información, incluyendo: manejo seguro de credenciales, identificación de phishing, procedimientos de respuesta a incidentes y buenas prácticas de desarrollo seguro (OWASP).

10. Revisión

Esta política se revisa anualmente o ante cambios significativos en la infraestructura, normativa o amenazas identificadas.

Documentos Relacionados