99,5%
Disponibilidad mensual mínima
SLA corporativo. Plataformas específicas pueden ofrecer SLA superiores.
Seguridad de la información
Seguridad de la información
Su confianza es nuestra responsabilidad.
En APRIES tratamos información sensible de seguridad y salud ocupacional de organizaciones que operan en entornos exigentes. Esa responsabilidad nos obliga a sostener un programa formal de seguridad de la información, alineado con las mejores prácticas internacionales y con la normativa chilena vigente.
Esta página presenta los principios, controles y compromisos que rigen la protección de la información que nos confían nuestros clientes en todas las plataformas operadas por APRIES.
Vigente
Nuestro enfoque
La seguridad de la información en APRIES no es un proyecto puntual ni un check-list. Es una práctica continua, sostenida por principios claros y por una organización con responsabilidades definidas.
Principio 1
Defensa en profundidad
Aplicamos múltiples capas de protección complementarias. Si una capa falla, las otras siguen operativas. Esto reduce significativamente el impacto de cualquier intento de compromiso.
Principio 2
Mínimo privilegio
Cada persona, sistema y servicio recibe únicamente los accesos estrictamente necesarios para cumplir su función. Los privilegios se revisan de forma periódica y se ajustan ante cualquier cambio.
Principio 3
Seguridad por diseño y por defecto
Cuando incorporamos una nueva funcionalidad, la seguridad se integra desde el diseño, no se agrega al final. Las configuraciones por defecto son siempre las más restrictivas.
Principio 4
Trazabilidad y rendición de cuentas
Toda acción privilegiada queda registrada, atribuida y disponible para auditoría. Si algo ocurre, podemos reconstruirlo y responder por ello.
Principio 5
Mejora continua
Nuestro Sistema de Gestión de Seguridad de la Información se revisa formalmente cada doce meses, con base en métricas, incidentes y cambios en el entorno regulatorio y de amenazas.
Arquitectura de seguridad
Las plataformas de APRIES están diseñadas bajo el principio de defensa en profundidad. Cada capa cumple una función específica de protección y, en conjunto, conforman un sistema redundante que reduce el impacto de eventuales fallas o intentos de compromiso.
Arquitectura de seguridad
Usuarios
Acceso autenticado con MFA
→
Perímetro
Protección DDoS, WAF y firewall
→
Aplicación
Lógica de negocio aislada por cliente
→
Datos
Cifrado en reposo y tránsito
Administración segregada
Acceso privilegiado bajo VPN, MFA reforzada y gestión centralizada de secretos
Observabilidad continua
Monitoreo de seguridad, registro de eventos y respuesta a incidentes 24/7
Estándares de referencia: ISO/IEC 27001:2022 · NIST CSF 2.0 · CIS Controls v8
Cumplimiento Ley N° 21.719 — Protección de Datos Personales en Chile
Cumplimiento Ley N° 21.719 — Protección de Datos Personales en Chile
Usuarios: Autenticación multifactor para accesos administrativos y roles con información sensible. Sesiones con tiempos de expiración controlados y cierre automático por inactividad.
Perímetro: Mitigación DDoS, WAF contra amenazas OWASP y mecanismos de control de tráfico que filtran solicitudes anómalas antes de llegar a la aplicación.
Aplicación: Lógica de negocio en entorno aislado. Revisión por pares de todo cambio, análisis automatizado de seguridad en cada commit y separación estricta dev/staging/producción.
Datos: Cifrado en reposo y en tránsito con algoritmos reconocidos por la industria. Bases de datos segregadas. Los datos de salud ocupacional reciben controles adicionales.
¿Necesita información técnica detallada?
Las áreas de tecnología y seguridad de nuestros clientes y prospectos pueden solicitar el diagrama de red detallado, el informe de evaluación de seguridad más reciente y nuestra Política de Seguridad de la Información completa, mediante acuerdo de confidencialidad.
Solicitar documentación técnicaCumplimiento y estándares de referencia
Nuestro programa de seguridad se sustenta en estándares internacionales reconocidos y se ajusta al marco normativo chileno aplicable a la protección de datos personales, la ciberseguridad y la salud ocupacional.
Estándares internacionales
ISO/IEC 27001:2022
Sistema de Gestión de Seguridad de la Información, estándar internacional para la protección sistemática de información sensible.
NIST Cybersecurity Framework 2.0
Marco del National Institute of Standards and Technology para la gestión de riesgos de ciberseguridad, ampliamente adoptado en la industria.
CIS Controls v8
Controles priorizados del Center for Internet Security para la mejora continua de la postura de seguridad.
OWASP ASVS y OWASP Top 10
Estándares de seguridad para el desarrollo y verificación de aplicaciones web.
Marco normativo chileno
Ley N° 19.628 / Ley N° 21.719
La Ley N° 21.719 entra en plena vigencia el 1 de diciembre de 2026. APRIES ha incorporado sus obligaciones:
- Designación de Delegado de Protección de Datos (DPO)
- Registro de Actividades de Tratamiento
- Derechos ARCOP: acceso, rectificación, cancelación, oposición y portabilidad
- Notificación formal de vulneraciones a la Agencia de Protección de Datos
- Evaluaciones de impacto para tratamientos de alto riesgo
Ley N° 21.096
Reconoce la protección de datos personales como derecho fundamental en la Constitución.
Ley N° 21.663 — Marco de Ciberseguridad
Obligaciones de ciberseguridad para servicios esenciales y operadores de importancia vital.
Ley N° 16.744 y normativa SUSESO
Especialmente relevante para el tratamiento de datos de salud ocupacional en nuestras plataformas.
Nuestra Política Corporativa de Seguridad de la Información se revisa formalmente cada doce meses y se actualiza ante cambios significativos en el negocio, la tecnología o el entorno regulatorio. La versión vigente se encuentra disponible para clientes y prospectos calificados, bajo acuerdo de confidencialidad.
Disponibilidad y continuidad
Sabemos que la disponibilidad de las plataformas es crítica para la operación de nuestros clientes. Por ello sostenemos un compromiso formal de servicio que combina infraestructura redundante, monitoreo permanente y procedimientos de recuperación probados.
24/7
Monitoreo continuo
Detección y alertamiento permanente.
AES-256
Cifrado de datos
En reposo y en tránsito.
3-2-1
Estrategia de respaldo
Tres copias, dos medios, un sitio externo.
Mantenemos respaldos diarios cifrados, almacenados en infraestructura geográficamente separada y bajo formatos que impiden su modificación o eliminación inadvertida. Las pruebas de restauración se ejecutan trimestralmente para asegurar que los respaldos sean efectivamente recuperables.
En caso de incidente, contamos con un plan formal de respuesta que define roles, plazos y procedimientos de comunicación, así como con un plan de continuidad de negocio que cubre escenarios de indisponibilidad mayor.
Las condiciones específicas del SLA, las exclusiones aplicables y los procedimientos de compensación se establecen en los acuerdos contractuales con cada cliente.
Seguridad en cada una de nuestras plataformas
APRIES opera cuatro plataformas que comparten una misma Política Corporativa de Seguridad de la Información. Cada producto incorpora, además, controles técnicos específicos según la naturaleza de los datos que trata y el flujo del servicio.
Gestión SSOMA
Gestión integral SST
Plataforma de gestión integral de seguridad, salud ocupacional y medio ambiente. Por la naturaleza de la información que trata —incluyendo datos de salud ocupacional bajo la Ley N° 16.744— aplica controles reforzados de cifrado a nivel de campo, segregación por cliente y trazabilidad granular de accesos.
CooP-HSE
Gestión HSE colaborativa
Plataforma colaborativa de gestión HSE, diseñada para entornos donde múltiples organizaciones interactúan en proyectos compartidos. Los controles específicos incluyen segmentación lógica entre organizaciones colaboradoras y validación de pertenencia en cada operación.
Vota Fácil
Votación digital segura
Plataforma de votación digital para procesos eleccionarios internos, como la elección de Comités Paritarios. La integridad y el secreto del voto son los atributos centrales del servicio: incorporamos controles específicos para asegurar la imposibilidad de vincular un voto con un votante, manteniendo la trazabilidad del proceso eleccionario.
Rysko
Gestión de riesgos
Plataforma especializada en gestión de riesgos. Trata información estratégica de las organizaciones cliente —matrices de riesgo, evaluaciones, planes de acción— que se gestiona bajo controles propios de información Confidencial conforme a nuestra política de clasificación.
Preguntas frecuentes
Las consultas más habituales que recibimos durante procesos de evaluación de seguridad por parte de nuestros clientes.
Los datos se almacenan en infraestructura ubicada en centros de datos profesionales con certificaciones reconocidas por la industria, que garantizan altos niveles de disponibilidad, redundancia y seguridad física. La ubicación específica de los datos se informa en el acuerdo contractual con cada cliente.
El acceso a la información de cada cliente está restringido al personal de APRIES estrictamente autorizado, bajo el principio de mínimo privilegio. Cada acceso administrativo requiere autenticación multifactor y queda registrado para fines de auditoría. Nuestros equipos no acceden a la información operativa de los clientes salvo en casos puntuales de soporte autorizados expresamente.
Sí. Nuestras plataformas operan bajo modelos de aislamiento por cliente que impiden cualquier cruce de datos o sesiones entre organizaciones. El nivel exacto de aislamiento varía por producto y se documenta en la información técnica disponible bajo NDA.
Toda la información se cifra en tránsito mediante protocolos seguros de transporte y, en reposo, mediante algoritmos simétricos robustos reconocidos por la industria. Las claves criptográficas se gestionan en sistemas dedicados, con rotación periódica. Los datos sensibles, como los datos de salud ocupacional, reciben capas adicionales de cifrado a nivel de campo.
Los datos de salud ocupacional son tratados como datos sensibles en los términos de la Ley N° 21.719 y del régimen especial de la Ley N° 16.744. Aplicamos controles reforzados: cifrado adicional a nivel de campo, registro individualizado de cada acceso con justificación funcional, y restricción a roles específicamente autorizados. Respetamos los criterios de la SUSESO sobre el alcance de la información que puede ser accesible al empleador.
Contamos con un procedimiento formal de respuesta a incidentes alineado con buenas prácticas internacionales. Los incidentes que afecten datos personales son notificados a la Agencia de Protección de Datos Personales y a los titulares involucrados conforme a las obligaciones de la Ley N° 21.719 y a los plazos pactados contractualmente con cada cliente.
Sí. Anualmente realizamos pruebas de penetración (pentesting) ejecutadas por un proveedor externo independiente, siguiendo metodologías reconocidas por la industria. Adicionalmente, mantenemos análisis automatizados continuos de vulnerabilidades y de las dependencias de software utilizadas. Los hallazgos críticos cuentan con plazos de remediación definidos y son verificados mediante nuevas pruebas.
Las transferencias internacionales de datos personales, cuando aplican, se realizan exclusivamente bajo las condiciones que establece la Ley N° 21.719: con bases de adecuación reconocidas, garantías apropiadas o autorización expresa, según corresponda. Toda transferencia queda documentada y disponible para revisión del cliente.
Al término de la relación contractual, devolvemos o eliminamos los datos del cliente conforme a lo pactado, mediante procedimientos de borrado seguro. Entregamos certificación documentada del proceso de eliminación cuando es requerido. Para datos cuya retención es exigida por ley (por ejemplo, registros asociados a la Ley N° 16.744), se respetan los plazos legales aplicables.
Sí. Mantenemos respaldos diarios cifrados, almacenados en infraestructura geográficamente separada y bajo formatos inmutables que protegen frente a ransomware y eliminaciones accidentales. Trimestralmente se ejecutan pruebas de restauración para verificar la integridad y recuperabilidad de los respaldos.
Todo el personal recibe formación obligatoria de seguridad de la información al ingresar a la organización y al menos una vez al año, con énfasis en protección de datos personales, identificación de phishing y manejo seguro de la información. Quienes manipulan datos sensibles reciben formación adicional específica. Realizamos campañas periódicas de phishing simulado para mantener la conciencia activa.
Las áreas de tecnología y seguridad de clientes y prospectos calificados pueden solicitar nuestro diagrama de red detallado, el resumen del último pentesting y la Política Corporativa de Seguridad de la Información completa, mediante acuerdo de confidencialidad. La solicitud se canaliza a través del responsable de seguridad o del ejecutivo comercial asignado.
Contacto de seguridad
Disponemos de canales formales para consultas de seguridad, ejercicio de derechos sobre datos personales, solicitudes de información técnica bajo acuerdo de confidencialidad y reporte de eventuales vulnerabilidades por parte de investigadores externos.
Reporte de incidentes y vulnerabilidades
incidentes@apries.clTiempo de respuesta inicial: 24 horas hábiles.
Datos personales · Ley N° 21.719
dpo@apries.clDerechos de acceso, rectificación, cancelación, oposición y portabilidad. Atendidos dentro de los plazos legales.
Documentación técnica bajo NDA
compliance@apries.clDiagrama de red detallado, informes de pentesting y Política Corporativa de Seguridad completa.
Consultas comerciales generales
contacto@apries.clPara cualquier consulta general sobre nuestros servicios y plataformas.