Política de Seguridad de la Información

1. Objetivo y alcance

Esta política define los lineamientos de AlthoEstudio para preservar la confidencialidad, integridad y disponibilidad de la información tratada en la plataforma contable multi-tenant: usuarios, organizaciones, clientes, documentación indexada, conversaciones con asistentes IA e integraciones con Google.

2. Principios

• Mínimo privilegio: acceso concedido solo según rol (contador, propietario de organización, superadministración técnica).
• Aislamiento multi-tenant: filtro de organización en persistencia; un estudio no accede a datos de otro.
• Cifrado de secretos: tokens OAuth de Drive y claves de API de IA almacenados cifrados (p. ej. libsodium).
• Separación de flujos OAuth: login de usuario y conexión de Drive utilizan redirects y alcances diferenciados.

3. Medidas técnicas

3.1 Control de acceso

• Autenticación mediante Google OAuth para usuarios.
• Contraseñas internas (cuando existan) con hash seguro; no se almacenan en claro.
• Roles y membresías por organización.

3.2 Comunicaciones y aplicación

• Uso de HTTPS (TLS) en entornos de producción.
• Protección CSRF, validación de entradas y gestión segura de sesiones.
• Validación de estado OAuth en callbacks.

3.3 Procesamiento asíncrono

La sincronización e indexación de Drive se ejecutan en segundo plano (Messenger) para no exponer credenciales en el hilo web y limitar el impacto en la experiencia del usuario.

3.4 Copias de seguridad

Copias periódicas de bases de datos críticas según procedimientos del responsable o proveedor de hosting.

4. Terceros

Se utilizan servicios de Google (OAuth, Drive), proveedores de IA configurables y hosting. Se exigen o verifican compromisos de seguridad acordes al tipo de dato tratado.

5. Incidentes

Ante un incidente que afecte datos personales, se actuará conforme a la normativa aplicable, incluyendo notificación a autoridad y afectados cuando corresponda.

6. Contacto

Consultas de seguridad: althos.com.ar. Privacidad: Política de Privacidad.