Políticas de Seguridad
de la Información

Estudio Ideas Diseño Ltda.
Política de Seguridad de la Información
Versión 1.2 · Última actualización: 10 de julio de 2026 · Entrada en vigencia: 1 de diciembre de 2026

Estudio Ideas Diseño Ltda. establece mediante esta política los lineamientos, controles y procedimientos para garantizar la confidencialidad, integridad, disponibilidad y privacidad de la información que procesa, en cumplimiento de la Ley N.º 21.719 y las mejores prácticas internacionales de seguridad de la información.

01
Objeto y alcance

Esta política define los principios y controles de seguridad aplicables a toda la información de Estudio Ideas y sus clientes.

La presente Política de Seguridad de la Información (en adelante, "la Política") tiene por objeto establecer el marco de gestión de seguridad de la información de Estudio Ideas Diseño Ltda. (RUT 76.487.494-3), aplicable a la totalidad de los activos de información, sistemas, redes, servidores, dispositivos y datos personales que la empresa administra, ya sea de forma directa o a través de terceros.

Su alcance comprende, entre otros: el servidor dedicado y su infraestructura de hosting, los sitios web y plataformas WordPress/WooCommerce administrados para clientes, los sistemas propios de desarrollo (plugins, aplicaciones de cumplimiento normativo, plataforma de facturación electrónica), las cuentas de correo y comunicaciones corporativas, y cualquier sistema de terceros integrado a la operación (Cloudflare, cPanel/WHM, pasarelas de pago, CRM/ERP conectados).

Aplica a todo el personal de Estudio Ideas, colaboradores externos, contratistas y proveedores que tengan acceso, aunque sea parcial o temporal, a los sistemas o información descritos.

02
Objetivos de la política

Proteger la confidencialidad, integridad y disponibilidad de la información, y prevenir incidentes de seguridad.

Esta política persigue los siguientes objetivos:

  • Proteger la información propia y de los clientes contra accesos no autorizados, divulgación, alteración o destrucción.
  • Minimizar los riesgos operacionales derivados de incidentes de seguridad, fallas técnicas o errores humanos.
  • Asegurar la continuidad de los servicios de hosting y desarrollo web frente a incidentes o desastres.
  • Dar cumplimiento a la Ley N.º 21.719 sobre Protección de Datos Personales y a las obligaciones contractuales asumidas con clientes.
  • Establecer responsabilidades claras en materia de seguridad para todo el personal y proveedores involucrados.
03
Principios de seguridad de la información

Confidencialidad, Integridad, Disponibilidad, Autenticidad y No Repudio.

Todos los controles descritos en esta política se sustentan en cinco principios fundamentales:

  • Confidencialidad: la información solo es accesible por quienes tienen autorización expresa.
  • Integridad: la información se mantiene exacta y completa, protegida contra modificaciones no autorizadas.
  • Disponibilidad: la información y los sistemas están accesibles cuando se requieran, dentro de los niveles de servicio acordados.
  • Autenticidad: se garantiza que los usuarios, sistemas y datos son quienes dicen ser.
  • No repudio: las acciones realizadas en los sistemas quedan registradas de forma que no puedan ser negadas por su autor.
04
Clasificación de la información

Se establece un sistema de clasificación según su nivel de sensibilidad.

La información gestionada por Estudio Ideas se clasifica en cuatro niveles:

  • Pública: información destinada a difusión general, sin restricciones (ej. contenido publicado en sitios web).
  • Interna: información de uso exclusivo del equipo de trabajo, sin impacto crítico si se divulga accidentalmente (ej. procesos internos).
  • Confidencial: información cuya divulgación no autorizada podría afectar a un cliente o a la empresa (ej. credenciales de acceso, contratos, datos de facturación).
  • Restringida: información cuya exposición representa un riesgo alto o crítico (ej. certificados digitales, llaves criptográficas, datos personales sensibles, CAF de facturación electrónica).

Cada nivel de clasificación determina los controles de acceso, cifrado y retención aplicables.

05
Gestión de accesos

Principio de mínimo privilegio y necesidad de conocer.

El acceso a sistemas, servidores y datos se otorga bajo el principio de mínimo privilegio: cada persona recibe únicamente los permisos estrictamente necesarios para cumplir sus funciones.

  • Los accesos se solicitan, aprueban y documentan formalmente antes de ser otorgados.
  • Se revisan periódicamente los permisos activos, revocando aquellos que ya no sean necesarios.
  • El acceso de técnicos externos o soporte puntual se realiza mediante credenciales temporales o de un solo uso, nunca mediante contraseñas maestras compartidas.
  • Toda cuenta de administrador queda protegida con autenticación de dos factores (2FA).
06
Seguridad en el desarrollo y mantenimiento de sistemas

Medidas de seguridad aplicadas durante todo el ciclo de vida de los proyectos web.

Estudio Ideas aplica prácticas de desarrollo seguro en la construcción de sitios web, plugins y aplicaciones a medida, incluyendo:

  • Separación de entornos de desarrollo, pruebas y producción.
  • Revisión de código antes del despliegue en sitios de clientes.
  • Control de versiones con numeración explícita en cada entrega, evitando sobrescribir versiones anteriores.
  • Validación y sanitización de datos de entrada en todo formulario o endpoint expuesto públicamente.
  • Uso de conexiones cifradas (HTTPS/TLS) en la totalidad de los sitios administrados.
07
Gestión de contraseñas y autenticación

Requisitos mínimos de robustez, renovación y protección de credenciales.

Todas las contraseñas utilizadas para acceder a sistemas, paneles de administración o servidores deben cumplir requisitos mínimos de longitud y complejidad, evitando el reuso entre distintos servicios.

  • Se prohíbe el uso de una única contraseña o "llave maestra" compartida entre múltiples sitios o clientes.
  • Las cuentas administrativas cuentan con autenticación de dos factores (2FA) obligatoria.
  • Las contraseñas se almacenan siempre cifradas o mediante hash, nunca en texto plano.
  • Las credenciales de acceso temporal para soporte técnico expiran automáticamente tras su uso o vencimiento del plazo asignado.
08
Seguridad física y de las instalaciones

Protección de equipos, servidores y puntos de acceso físico.

El servidor dedicado que aloja los sitios y datos administrados por Estudio Ideas se encuentra ubicado en instalaciones de un proveedor de datacenter con controles de seguridad física, incluyendo control de acceso, videovigilancia y sistemas de respaldo eléctrico.

Los equipos de trabajo del personal (notebooks, estaciones de trabajo) se protegen con bloqueo automático de pantalla, cifrado de disco cuando corresponda, y no se dejan desatendidos con sesiones activas abiertas.

09
Seguridad de red y comunicaciones

Firewalls, filtrado de tráfico y protección perimetral.

La infraestructura de red se protege mediante múltiples capas de control:

  • Firewall a nivel de servidor (CSF) y firewall de aplicaciones web (WAF) mediante BitNinja y Cloudflare.
  • Reglas de limitación de tasa (rate limiting) para prevenir abuso en endpoints críticos como formularios de pago o checkout.
  • Bloqueo de direcciones IP identificadas en actividad maliciosa o escaneo automatizado de vulnerabilidades.
  • Segmentación de accesos según el tipo de integración (ERP, CRM, bots) mediante listas de aprobación (whitelist) gestionadas de forma centralizada.
10
Gestión de dispositivos y equipos

Control de dispositivos autorizados para acceder a sistemas corporativos.

Se mantiene un registro de dispositivos de confianza autorizados para acceder a los paneles administrativos, mediante seguimiento de dispositivos (device trust) en los sistemas de autenticación.

Los dispositivos personales utilizados para trabajo (BYOD) deben mantener actualizaciones de seguridad al día y contar, cuando sea posible, con antivirus o herramienta de protección equivalente.

11
Copias de seguridad (backup) y recuperación

Respaldo periódico de sitios, bases de datos y sistemas críticos.

Se generan copias de seguridad periódicas de los sitios web, bases de datos y configuraciones críticas alojadas en el servidor. Las copias se almacenan en ubicaciones separadas del entorno de producción para asegurar su disponibilidad ante fallas, ataques o pérdida de datos.

Se realizan pruebas de restauración de manera periódica para verificar la integridad y utilidad real de los respaldos generados.

12
Gestión de proveedores y terceros

Evaluación y control de servicios de terceros que procesan información.

Todo proveedor o servicio de terceros que tenga acceso, procese o almacene información de Estudio Ideas o de sus clientes (por ejemplo, Cloudflare, pasarelas de pago, servicios de correo transaccional) es evaluado en función de sus propias garantías de seguridad y cumplimiento normativo.

Las integraciones de sistemas externos (ERP, CRM, bots) se autorizan de forma explícita y quedan documentadas en un catálogo de integraciones aprobadas, clasificadas según su nivel de riesgo y alcance de acceso.

13
Seguridad en hosting y entornos multi-cliente

Aislamiento de recursos entre las cuentas de los distintos clientes alojados.

Dado que el servidor administra múltiples sitios de distintos clientes bajo un entorno compartido, se aplican límites de recursos por cuenta (CPU, memoria, procesos) para evitar que el comportamiento de un sitio afecte la disponibilidad de otros.

Se utiliza aislamiento de cuentas a nivel de sistema operativo (CloudLinux) y monitoreo constante de anomalías de tráfico o consumo excesivo, con capacidad de suspender temporalmente cuentas comprometidas mientras se investiga un incidente.

14
Gestión de incidentes de seguridad

Procedimiento de detección, contención y resolución de incidentes.

Todo evento que comprometa o pueda comprometer la confidencialidad, integridad o disponibilidad de la información es tratado como un incidente de seguridad y sigue el siguiente proceso:

  • Detección: mediante monitoreo automatizado (WAF, detección de malware, alertas de servidor) o reporte manual.
  • Contención: aislamiento del sistema o cuenta afectada para evitar propagación.
  • Erradicación: eliminación de la causa raíz (malware, vulnerabilidad, acceso indebido).
  • Recuperación: restauración de servicios desde copias de seguridad verificadas.
  • Lecciones aprendidas: documentación del incidente y ajuste de controles para prevenir su repetición.
15
Notificación de brechas de seguridad

Procedimiento de comunicación ante incidentes que afecten datos personales.

En caso de que un incidente de seguridad afecte datos personales bajo tratamiento de Estudio Ideas, se evaluará su severidad y, cuando corresponda conforme a la Ley N.º 21.719, se notificará a la Agencia de Protección de Datos Personales y a los titulares afectados dentro de los plazos que establezca la normativa vigente.

La notificación incluirá, cuando sea posible, la naturaleza de la brecha, los datos involucrados, las medidas adoptadas y las recomendaciones para los titulares afectados.

Nota: los plazos y formalidades específicas de notificación deben ser validados con un asesor legal al momento de implementar esta política, dado que el reglamento de la Ley N.º 21.719 puede precisar detalles adicionales.

16
Continuidad del negocio y recuperación ante desastres

Planes para asegurar la operación ante fallas mayores o desastres.

Estudio Ideas mantiene procedimientos de recuperación ante desastres que contemplan la restauración de sitios y bases de datos desde copias de seguridad externas, así como acuerdos de contingencia para migración a infraestructura alternativa en caso de falla mayor del proveedor de hosting actual.

17
Capacitación y concientización del personal

Formación continua en buenas prácticas de seguridad.

Todo el personal y colaboradores reciben información periódica sobre buenas prácticas de seguridad, reconocimiento de intentos de phishing, manejo adecuado de contraseñas y reporte de incidentes.

18
Uso aceptable de los sistemas y equipos

Reglas de uso responsable de los recursos tecnológicos de la empresa.

Los sistemas, cuentas y equipos entregados para el desempeño de funciones deben utilizarse exclusivamente para fines relacionados con la operación de Estudio Ideas, evitando la instalación de software no autorizado o el uso de credenciales corporativas en servicios personales no relacionados con el trabajo.

19
Seguridad del correo electrónico y comunicaciones

Controles frente a phishing, suplantación y correo no deseado.

Las comunicaciones corporativas por correo electrónico se gestionan mediante proveedores con autenticación SMTP segura, registros SPF/DKIM/DMARC configurados para prevenir la suplantación del dominio, y filtros de spam y phishing activos.

20
Protección contra malware y software malicioso

Detección y eliminación de código malicioso en servidores y sitios.

Se mantienen herramientas activas de detección de malware a nivel de servidor, con escaneo periódico de archivos de los sitios alojados y remoción automática o manual de código malicioso identificado.

21
Gestión de vulnerabilidades y parches

Actualización periódica de software, plugins y sistemas.

El núcleo de WordPress, temas, plugins y demás software utilizado en los sitios administrados se mantiene actualizado de forma periódica, priorizando las actualizaciones que corrigen vulnerabilidades de seguridad conocidas.

22
Auditorías y revisiones de seguridad

Revisión periódica del cumplimiento de esta política.

Se realizan revisiones periódicas de los controles de seguridad implementados, incluyendo registros de acceso, configuración de firewall, permisos activos y estado de actualizaciones, con el fin de verificar el cumplimiento efectivo de esta política.

23
Roles y responsabilidades

Definición de responsables de la seguridad de la información.

El responsable general de la seguridad de la información es el representante técnico de Estudio Ideas, quien coordina la implementación de los controles descritos en esta política. El equipo técnico es responsable de la ejecución operativa (mantenimiento del servidor, respaldo, monitoreo), mientras que todo el personal es responsable de cumplir las prácticas de uso aceptable y reportar incidentes.

24
Sanciones por incumplimiento

Consecuencias frente al incumplimiento de esta política por parte del personal o terceros.

El incumplimiento de esta política por parte de personal, colaboradores o terceros con acceso a los sistemas de Estudio Ideas podrá dar lugar a medidas administrativas, contractuales o legales, según la gravedad de la falta y conforme a la normativa laboral y contractual aplicable.

Nota: la redacción específica de sanciones debe alinearse con el reglamento interno de la empresa y ser revisada por un asesor legal para asegurar su exigibilidad.

25
Marco normativo aplicable

Leyes y estándares que sustentan esta política.

Esta política se elabora en consideración de la Ley N.º 21.719 sobre Protección de Datos Personales de Chile, y toma como referencia buenas prácticas internacionales de gestión de seguridad de la información, tales como la familia de normas ISO/IEC 27001, sin que ello implique una certificación formal bajo dicho estándar.

26
Vigencia y actualizaciones

Esta política se revisa anualmente o ante cambios significativos.

Estudio Ideas se compromete a actualizar esta política según evolucione el panorama de amenazas, la infraestructura tecnológica y la normativa aplicable, revisándola al menos una vez al año o cada vez que ocurra un cambio significativo en los sistemas o en la ley.

¿Tu sitio cumple con la
Ley N.º 21.719?

Adecuamos tu sitio web a la nueva Ley de Protección de Datos Personales mediante una auditoría técnica y legal especializada.

Nuestra Post Venta es
Ilimitada *

* Requiere ser cliente con Hosting Estudio Ideas

necesitas ayuda v2

¿Eres cliente Estudio Ideas?

Agéndate cuantas veces lo necesites. Te invitamos a probar a 'Liam', nuestro nuevo agente de ventas y soporte impulsado por Inteligencia Artificial, disponible en la caja de chat o, inicia tu WhatsApp ahora mismo.

¿Aún no eres cliente Estudio Ideas?

¡Que esperas!, también puedes agendarte para una atención más personalizada.

¡Agéndate Online!