Política de Seguridad de la Información

I. Objeto y Alcance

1.1. La presente política tiene como objeto establecer el marco de seguridad de la información aplicable a todos los sistemas de información, activos tecnológicos y procesos operativos de Walkies, con el fin de garantizar la protección adecuada de los datos personales de los usuarios, la información financiera, los activos digitales y la infraestructura tecnológica de la plataforma.

1.2. Esta política es de observancia obligatoria para:

• Todo el personal de Walkies Technologies S.A. de C.V., incluyendo empleados, directivos y personal temporal.
• Contratistas, consultores y prestadores de servicios que accedan a sistemas o información de Walkies.
• Proveedores de servicios tecnológicos que procesen, almacenen o transmitan información en nombre de Walkies, conforme a lo descrito en la Lista de Proveedores de Datos y Servicios de Terceros.

1.3. El alcance de esta política comprende:

• Procesamiento y seguridad de pagos (Stripe).
• Almacenamiento y protección de datos personales y operativos (AWS DynamoDB, Amazon S3).
• Operaciones del backend (AWS Lambda, AppSync, API Gateway, CloudFront, SNS).
• Autenticación y gestión de identidades (AWS Cognito).
• Seguridad de la aplicación móvil iOS (SwiftUI + AWS Amplify).
• Comunicaciones y transmisión de datos entre todos los componentes del sistema.

II. Marco Normativo

2.1. La presente política se fundamenta en el siguiente marco jurídico y normativo:

• Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento, en particular los artículos 19 (medidas de seguridad), 36 y 37 (transferencias de datos) y 60 a 63 del Reglamento (evaluaciones de seguridad).
• Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), aplicable al procesamiento de pagos a través de Stripe, Inc., proveedor certificado PCI DSS Nivel 1.
• ISO/IEC 27001:2022, como marco de referencia para la implementación de un sistema de gestión de seguridad de la información.
• Ley Federal del Derecho de Autor, en lo relativo a la protección de las bases de datos y compilaciones de información de Walkies.
• Código de Comercio y disposiciones en materia de comercio electrónico aplicables en los Estados Unidos Mexicanos.
• Lineamientos del INAI (Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales) en materia de medidas de seguridad para la protección de datos personales.

III. Clasificación de la Información

3.1. Walkies clasifica su información en las siguientes categorías, con controles de seguridad proporcionales al nivel de sensibilidad:

• Pública: Información destinada a difusión general, cuya divulgación no representa riesgo para Walkies ni para sus usuarios. Incluye materiales de mercadotecnia, comunicados de prensa, documentos legales publicados (Términos y Condiciones, Política de Privacidad, EULA) y contenido del sitio web público.
• Interna: Información de uso exclusivo dentro de Walkies, cuya divulgación no autorizada podría afectar la operación. Incluye procedimientos operativos internos, comunicaciones entre personal, reportes operativos no financieros y documentación técnica general.
• Confidencial: Información cuya divulgación no autorizada podría causar un perjuicio significativo a Walkies o a los titulares de los datos. Incluye datos personales de usuarios y paseadores (conforme a la Política de Privacidad, Sección III), estrategias comerciales, información financiera no pública, métricas de desempeño del negocio y contratos con proveedores.
• Restringida: Información de máxima sensibilidad cuyo acceso se limita estrictamente al personal autorizado con necesidad legítima de conocimiento. Incluye datos de pago y financieros (procesados por Stripe), credenciales de autenticación y tokens de acceso, llaves de cifrado y secretos criptográficos, código fuente del Software, configuraciones de seguridad de la infraestructura, y registros de auditoría de seguridad.

3.2. Todo el personal de Walkies es responsable de identificar, etiquetar y manejar la información conforme a su clasificación. El tratamiento inadecuado de información clasificada como confidencial o restringida constituye una falta grave.

IV. Seguridad en Pagos (Stripe)

4.1. Cumplimiento PCI DSS: El procesamiento de pagos en Walkies se realiza exclusivamente a través de Stripe, Inc., proveedor certificado PCI DSS Nivel 1 (el nivel más alto de cumplimiento en la industria de pagos). Walkies delega la totalidad del manejo de datos de tarjeta a Stripe, minimizando su alcance PCI DSS.

4.2. Prohibición de almacenamiento de datos de tarjeta: Walkies NUNCA almacena, procesa ni transmite de forma directa números completos de tarjetas de crédito o débito, códigos de verificación (CVV/CVC), fechas de vencimiento completas ni datos bancarios completos de los usuarios. Únicamente se almacenan los últimos 4 dígitos de la tarjeta y el tipo de tarjeta (Visa, Mastercard, etc.) con fines de identificación visual para el usuario.

4.3. Captura segura de datos de pago: La captura de datos de tarjeta se realiza exclusivamente mediante Stripe Elements y PaymentSheet, componentes de interfaz de usuario proporcionados por Stripe que aseguran que los datos sensibles de pago nunca transiten por los servidores de Walkies. Los datos de tarjeta se transmiten directamente del dispositivo del usuario a los servidores de Stripe mediante cifrado de extremo a extremo.

4.4. Tokenización: Los métodos de pago se tokenizan mediante Stripe SetupIntents. Walkies almacena únicamente tokens de referencia (PaymentMethod IDs) que no pueden ser utilizados para realizar cargos fuera de la plataforma autorizada.

4.5. Detección de fraude: Walkies utiliza Stripe Radar, sistema de detección y prevención de fraude basado en aprendizaje automático, que evalúa señales de riesgo en cada transacción, incluyendo datos del dispositivo, dirección IP, patrones de comportamiento y geolocalización.

4.6. Pagos a paseadores (Stripe Connect Express): Los pagos a paseadores se procesan mediante Stripe Connect Express, donde cada paseador mantiene una cuenta Stripe independiente. Los datos bancarios de los paseadores (CLABE, datos de identificación) son procesados y almacenados exclusivamente por Stripe. Walkies no tiene acceso a datos bancarios completos de los paseadores.

4.7. Monitoreo de transacciones: Walkies implementa monitoreo continuo de transacciones para detectar anomalías, incluyendo volúmenes inusuales de transacciones, montos atípicos, patrones de uso inconsistentes y múltiples intentos fallidos de pago.

4.8. Seguridad de webhooks: Los webhooks de Stripe se verifican mediante firma criptográfica (Stripe-Signature) para garantizar la autenticidad e integridad de las notificaciones recibidas. Toda comunicación de webhook se realiza sobre HTTPS y se valida contra el secreto de webhook almacenado de forma segura.

V. Seguridad del Backend (AWS)

5.1. Seguridad de la infraestructura:

• Políticas IAM (Identity and Access Management): Todos los accesos a recursos de AWS se gestionan mediante políticas IAM que implementan el principio de mínimo privilegio. Cada servicio y función tiene únicamente los permisos estrictamente necesarios para su operación. Se prohíbe el uso de credenciales raíz (root) para operaciones cotidianas.
• Configuración de red: Se implementan configuraciones de VPC (Virtual Private Cloud) y aislamiento de red donde sea aplicable, para restringir el acceso a recursos internos y minimizar la superficie de ataque.
• Seguridad de AWS Lambda: Las funciones Lambda operan sin estado persistente, lo que reduce el riesgo de exposición de datos entre ejecuciones. Cada función Lambda ejecuta bajo un rol de ejecución IAM aislado con permisos específicos. Las variables de entorno sensibles se almacenan cifradas.
• Seguridad de DynamoDB: Los datos almacenados en DynamoDB se cifran en reposo mediante cifrado AES-256 con llaves gestionadas por AWS. Se implementan controles de acceso detallados (fine-grained access control) para restringir el acceso a registros específicos según el contexto de la solicitud.
• Seguridad de Amazon S3: Los buckets de S3 están configurados como privados por defecto. El acceso a objetos almacenados (fotografías de perfil, evidencias de paseos) se gestiona mediante URLs prefirmadas (presigned URLs) con tiempo de expiración limitado. Se implementan políticas de bucket que prohíben el acceso público no autorizado.
• CloudFront con HTTPS: Toda la distribución de contenido a través de CloudFront se realiza exclusivamente mediante HTTPS. Se aplican políticas de seguridad que requieren TLS 1.2 como versión mínima.
• API Gateway: Todos los endpoints HTTP expuestos a través de API Gateway requieren autorización. Los endpoints de webhooks validan la autenticidad de las solicitudes entrantes.

5.2. Seguridad de AppSync (GraphQL):

• Autorización mediante Cognito: Todas las operaciones GraphQL a través de AWS AppSync requieren autenticación y autorización mediante tokens de Amazon Cognito. No se permiten operaciones anónimas sobre datos protegidos.
• Autorización a nivel de resolver: Cada resolver de AppSync implementa verificaciones de autorización que validan que el usuario solicitante tenga derecho a acceder o modificar los datos específicos que solicita, impidiendo el acceso horizontal a datos de otros usuarios.
• Validación de entrada: Todas las entradas recibidas a través de la API GraphQL se validan para prevenir inyección de datos, consultas malformadas y solicitudes que excedan los límites establecidos.

5.3. Monitoreo y registro:

• AWS CloudTrail: Se mantiene habilitado el registro de auditoría de todas las llamadas API a servicios de AWS, conforme a lo referido en la Política de Privacidad, Sección 12.2 (Evaluación Periódica de Seguridad). Los registros se almacenan de forma segura y se retienen por el periodo establecido en las políticas de retención.
• Amazon CloudWatch: Se implementa monitoreo continuo de métricas del sistema, con alertas configuradas para detectar condiciones anómalas, incluyendo errores elevados en funciones Lambda, latencia excesiva, picos de tráfico inusuales y fallos de autenticación.
• Detección de anomalías: Se implementan mecanismos de detección de patrones inusuales de acceso o uso que puedan indicar un incidente de seguridad o un intento de acceso no autorizado.

VI. Seguridad de Autenticación (Cognito)

6.1. Flujo de autenticación: La autenticación de usuarios se gestiona a través de Amazon Cognito, que administra el registro, inicio de sesión, recuperación de contraseña y gestión de sesiones. Walkies no implementa un sistema de autenticación propio ni almacena contraseñas en texto plano.

6.2. Políticas de contraseñas: Se establecen los siguientes requisitos mínimos para contraseñas:

• Longitud mínima de 8 caracteres.
• Al menos una letra mayúscula.
• Al menos una letra minúscula.
• Al menos un número.
• Al menos un carácter especial.
• Prohibición de contraseñas comúnmente comprometidas.

6.3. Gestión de tokens: Amazon Cognito emite tres tipos de tokens tras la autenticación exitosa:

• Token de acceso (Access Token): Autoriza las solicitudes a la API. Tiene una vigencia limitada.
• Token de actualización (Refresh Token): Permite renovar los tokens de acceso sin requerir nueva autenticación. Su vigencia es mayor pero igualmente limitada.
• Token de identidad (ID Token): Contiene información del perfil del usuario para uso en el cliente.

Los tokens se almacenan de forma segura en el dispositivo del usuario conforme a lo descrito en la Sección VIII.

6.4. Gestión de sesiones: Las sesiones de usuario tienen una duración máxima configurable. Los tokens de actualización tienen una vigencia limitada tras la cual el usuario debe autenticarse nuevamente. Se implementa la revocación de tokens cuando se detecta actividad sospechosa.

6.5. Autenticación multifactor (MFA): Walkies contempla la implementación de autenticación multifactor como medida de seguridad adicional en futuras versiones de la plataforma, conforme evolucionen los requisitos de seguridad y la experiencia de usuario.

6.6. Bloqueo de cuenta: Tras múltiples intentos fallidos de inicio de sesión, la cuenta del usuario se bloquea temporalmente como medida de protección contra ataques de fuerza bruta. El usuario puede recuperar el acceso mediante el proceso de recuperación de contraseña verificado por Cognito.

VII. Seguridad de Almacenamiento de Datos

7.1. Amazon DynamoDB:

• Cifrado en reposo: Todos los datos almacenados en DynamoDB se cifran mediante llaves gestionadas por AWS (AWS managed keys) con algoritmo AES-256. El cifrado es transparente y no requiere modificaciones en la lógica de la aplicación.
• Recuperación en un punto en el tiempo (PITR): Se habilita la recuperación en un punto en el tiempo (Point-in-Time Recovery) para las tablas que contienen datos críticos, permitiendo la restauración de datos a cualquier momento dentro del periodo de retención configurado.
• Políticas de respaldo: Se implementan respaldos automáticos de las tablas de DynamoDB conforme a la criticidad de los datos. Los respaldos se almacenan de forma cifrada y se verifican periódicamente mediante pruebas de restauración.

7.2. Amazon S3:

• Cifrado del lado del servidor (SSE): Todos los objetos almacenados en S3 se cifran del lado del servidor utilizando cifrado AES-256 (SSE-S3 o SSE-KMS, según la sensibilidad del dato).
• Versionamiento de buckets: Se habilita el versionamiento en los buckets que contienen datos críticos, permitiendo la recuperación de versiones anteriores de objetos en caso de eliminación o modificación accidental.
• Políticas de ciclo de vida: Se configuran políticas de ciclo de vida para gestionar la retención y eliminación automatizada de datos conforme a los periodos de conservación establecidos en la Política de Privacidad, Sección XI.
• Registro de accesos: Se habilita el registro de accesos a los buckets de S3 para mantener una bitácora auditable de todas las operaciones realizadas sobre los objetos almacenados.

7.3. Periodos de retención de datos: Los periodos de conservación de datos se rigen por lo establecido en la Política de Privacidad, Sección XI (Conservación y Eliminación de Datos). Al vencer los periodos de retención, los datos se eliminan de forma segura o se anonimizan de manera irreversible.

VIII. Seguridad de la Aplicación Móvil (iOS)

8.1. Almacenamiento seguro de tokens: Los tokens de autenticación (access token, refresh token, ID token) se almacenan en el iOS Keychain, que proporciona almacenamiento cifrado a nivel de hardware. No se almacenan tokens de autenticación ni credenciales en UserDefaults, NSUserDefaults ni en archivos de texto plano.

8.2. Fijación de certificados (Certificate Pinning): Se evalúa e implementa la fijación de certificados cuando sea técnicamente viable, para prevenir ataques de intermediario (man-in-the-middle) al validar que los certificados SSL/TLS presentados por los servidores correspondan a los esperados.

8.3. Protección de datos en almacenamiento local: No se almacenan datos sensibles (datos de pago, contraseñas, tokens de autenticación, datos personales extensos) en UserDefaults ni en almacenamiento no cifrado. La única excepción es el rol del usuario (dueño o paseador), que se considera dato no sensible necesario para la experiencia de usuario.

8.4. Comunicaciones seguras: Todas las comunicaciones de la aplicación se realizan exclusivamente mediante TLS 1.2 o superior. No se permiten conexiones HTTP sin cifrar.

8.5. App Transport Security (ATS): La aplicación cumple con los requisitos de App Transport Security de Apple, que impone el uso de HTTPS para todas las conexiones de red y establece requisitos mínimos de seguridad para los certificados y protocolos utilizados.

8.6. Ofuscación de código: Se consideran e implementan medidas de ofuscación de código cuando sea técnicamente viable, para dificultar la ingeniería inversa del Software, conforme a las restricciones establecidas en la Licencia de Software (EULA), Sección 2, inciso c).

IX. Cifrado

9.1. Cifrado en tránsito: Todas las comunicaciones entre la aplicación móvil y los servicios de backend, así como las comunicaciones entre servicios internos, se cifran mediante TLS 1.2 o superior. No se permiten conexiones sin cifrar en ningún componente del sistema.

9.2. Cifrado en reposo: Todos los datos almacenados se cifran en reposo utilizando el algoritmo AES-256:

• DynamoDB: Cifrado con llaves gestionadas por AWS (AWS managed keys).
• S3: Cifrado del lado del servidor (SSE-S3 o SSE-KMS).
• Cognito: Las contraseñas se almacenan mediante funciones de hash con sal (salt), gestionadas internamente por AWS Cognito. Walkies no tiene acceso a contraseñas en texto plano.

9.3. Cifrado de datos de pago: Los datos de pago se cifran de extremo a extremo mediante los mecanismos de seguridad de Stripe. La información de tarjeta se transmite directamente del dispositivo del usuario a los servidores de Stripe sin pasar por la infraestructura de Walkies.

9.4. Gestión de llaves: La gestión de llaves de cifrado se realiza mediante AWS Key Management Service (KMS), que proporciona generación segura de llaves, rotación automática, control de acceso granular y registro de auditoría de uso de llaves.

X. Control de Acceso

10.1. Principio de mínimo privilegio: Todo acceso a sistemas, datos e infraestructura de Walkies se otorga bajo el principio de mínimo privilegio, limitando cada usuario, servicio o proceso a los permisos estrictamente necesarios para el desempeño de sus funciones.

10.2. Control de acceso basado en roles: El acceso del personal interno a los sistemas de Walkies se gestiona mediante roles predefinidos con permisos específicos. Los roles se asignan conforme a las responsabilidades del puesto y se revisan periódicamente.

10.3. Revisión de accesos: Se realizan revisiones periódicas de los permisos de acceso otorgados a todo el personal y servicios, para verificar que los accesos vigentes correspondan a las funciones actuales y eliminar accesos innecesarios.

10.4. Procedimientos de alta y baja: Se implementan procedimientos formales para el otorgamiento de accesos al incorporarse nuevo personal (onboarding), así como para la revocación inmediata de todos los accesos al momento de la desvinculación del personal (offboarding).

10.5. Prohibición de credenciales compartidas: Queda estrictamente prohibido el uso de credenciales compartidas entre personal. Cada persona debe contar con credenciales individuales e intransferibles para acceder a los sistemas de Walkies.

10.6. Mejores prácticas IAM de AWS: El acceso a la consola y servicios de AWS se gestiona conforme a las mejores prácticas de IAM, incluyendo el uso de roles en lugar de usuarios para servicios, habilitación de MFA para cuentas con acceso a la consola, rotación periódica de credenciales programáticas y monitoreo de accesos mediante CloudTrail.

XI. Gestión de Vulnerabilidades

11.1. Evaluaciones de seguridad: Se realizan evaluaciones periódicas de seguridad de la infraestructura, el código fuente y las configuraciones del sistema para identificar vulnerabilidades potenciales.

11.2. Escaneo de dependencias: Se implementa el escaneo automatizado de dependencias de software para identificar bibliotecas y componentes con vulnerabilidades conocidas, tanto en la aplicación iOS como en las funciones del backend.

11.3. Monitoreo de avisos de seguridad de AWS: Se mantiene un seguimiento continuo de los avisos y boletines de seguridad publicados por AWS, Stripe y Apple para identificar oportunamente vulnerabilidades que puedan afectar los servicios utilizados por Walkies.

11.4. Gestión de parches: Se establecen procedimientos para la aplicación oportuna de actualizaciones de seguridad y parches en todos los componentes del sistema, priorizando las vulnerabilidades de mayor severidad.

11.5. Divulgación responsable: Walkies mantiene una política de divulgación responsable de vulnerabilidades. Los investigadores de seguridad que identifiquen vulnerabilidades en la plataforma pueden reportarlas a contacto@walkies.mx con el asunto "Reporte de Vulnerabilidad de Seguridad". Walkies se compromete a investigar todos los reportes y a no tomar acciones legales contra investigadores que actúen de buena fe.

XII. Plan de Respuesta a Incidentes de Seguridad

12.1. Detección e identificación: Walkies implementa mecanismos de detección de incidentes de seguridad, incluyendo monitoreo de CloudWatch, análisis de registros de CloudTrail, alertas de Stripe Radar y reportes del personal o usuarios. Todo evento sospechoso se clasifica y prioriza según su severidad e impacto potencial.

12.2. Medidas de contención: Una vez identificado un incidente, se implementan medidas de contención inmediatas para limitar su alcance e impacto, incluyendo el aislamiento de sistemas comprometidos, la revocación de credenciales afectadas, el bloqueo de accesos no autorizados y, cuando sea necesario, la suspensión temporal de servicios conforme a lo establecido en la Licencia de Software (EULA), Sección 9 (Suspensión por Riesgo Técnico o de Seguridad).

12.3. Erradicación y recuperación: Se procede a la eliminación de la causa raíz del incidente, la restauración de sistemas afectados desde respaldos verificados, la validación de la integridad de los datos y la restauración gradual de los servicios.

12.4. Análisis post-incidente: Tras la resolución de cada incidente, se realiza un análisis detallado que incluye la cronología del incidente, las causas raíz identificadas, la efectividad de las medidas de respuesta, las lecciones aprendidas y las recomendaciones de mejora para prevenir incidentes similares.

12.5. Procedimientos de notificación: En caso de una vulneración de seguridad que afecte datos personales de forma significativa, Walkies notificará a los titulares afectados y, en su caso, al INAI, sin demora injustificada y a más tardar dentro de las 72 horas siguientes a tener conocimiento del incidente, conforme a lo establecido en la Política de Privacidad, Sección XIII (Notificación de Vulneraciones de Seguridad) y en cumplimiento de la LFPDPPP.

12.6. Para incidentes operativos que afecten la disponibilidad del servicio pero no involucren una vulneración de datos personales, se seguirán los procedimientos establecidos en la Política de Incidentes y Emergencias de Walkies.

XIII. Continuidad del Negocio

13.1. Despliegue multi-zona de disponibilidad (Multi-AZ): La infraestructura de Walkies en AWS se despliega en múltiples zonas de disponibilidad, lo que proporciona redundancia y alta disponibilidad ante fallos en un centro de datos individual.

13.2. Procedimientos de respaldo y objetivos de recuperación: Se establecen y documentan los objetivos de tiempo de recuperación (RTO) y de punto de recuperación (RPO) para cada componente crítico del sistema. Los procedimientos de respaldo se ejecutan conforme a la criticidad del servicio y se verifican periódicamente mediante pruebas de restauración.

13.3. Recuperación de DynamoDB: Se utiliza la funcionalidad de Point-in-Time Recovery (PITR) de DynamoDB, que permite restaurar los datos a cualquier segundo dentro del periodo de retención configurado, proporcionando protección contra eliminaciones accidentales o corrupción de datos.

13.4. Consideraciones de replicación entre regiones (S3): Se evalúa e implementa la replicación entre regiones de AWS para los datos almacenados en S3 cuando la criticidad del dato lo justifique, asegurando la disponibilidad de la información ante un fallo regional.

13.5. Plan de recuperación ante desastres: Walkies mantiene un plan de recuperación ante desastres documentado que contempla escenarios de fallo total o parcial de la infraestructura, con procedimientos específicos para la restauración de cada componente crítico y la comunicación con los usuarios durante el periodo de recuperación.

XIV. Capacitación y Concientización

14.1. Capacitación en seguridad para todo el personal: Todo el personal de Walkies, incluyendo contratistas con acceso a sistemas o datos, recibe capacitación obligatoria en seguridad de la información al momento de su incorporación y de forma periódica.

14.2. Concientización sobre phishing: Se realizan campañas de concientización sobre ataques de ingeniería social y phishing, instruyendo al personal sobre cómo identificar y reportar intentos de phishing, correos sospechosos y solicitudes fraudulentas de información.

14.3. Prácticas de desarrollo seguro: El equipo de desarrollo recibe capacitación específica en prácticas de codificación segura, incluyendo validación de entradas, prevención de vulnerabilidades comunes (OWASP Top 10), manejo seguro de secretos y configuraciones, y revisión de código con enfoque de seguridad.

14.4. Actualización anual: Se realiza al menos una vez al año una sesión de actualización y refrescamiento en materia de seguridad de la información para todo el personal, que incluye las lecciones aprendidas de incidentes recientes, actualizaciones en el panorama de amenazas y cambios en las políticas y procedimientos internos.

XV. Auditoría y Cumplimiento

15.1. Auditorías internas de seguridad: Se realizan auditorías internas de seguridad de la información con periodicidad semestral, conforme a lo establecido en la Política de Privacidad, Sección 12.2 (Evaluación Periódica de Seguridad y Auditoría de Datos). Estas auditorías abarcan la revisión de controles de acceso, configuraciones de seguridad, gestión de vulnerabilidades y cumplimiento de las políticas internas.

15.2. Verificación de certificaciones de proveedores: Se verifica periódicamente la vigencia de las certificaciones de seguridad de los proveedores de servicios tecnológicos:

• AWS: ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, PCI DSS Nivel 1.
• Stripe: PCI DSS Nivel 1, SOC 1, SOC 2, ISO 27001.
• Apple: ISO 27001, ISO 27018, SOC 2, SOC 3.

Conforme a lo detallado en la Lista de Proveedores de Datos y Servicios de Terceros.

15.3. Revisión de cumplimiento de DPA: Se revisa periódicamente el cumplimiento de los acuerdos de procesamiento de datos (DPA) suscritos con cada proveedor, verificando que las condiciones de tratamiento de datos se mantengan conforme a lo contratado.

15.4. Revisión del registro de incidentes: Se revisan periódicamente los registros de incidentes de seguridad para identificar tendencias, áreas de mejora y la efectividad de las medidas de prevención implementadas.

15.5. Evaluación de efectividad de la política: Se evalúa periódicamente la efectividad de la presente política y de los controles de seguridad implementados, con base en los resultados de las auditorías, los incidentes registrados y la evolución del panorama de amenazas.

XVI. Responsabilidades

16.1. Departamento de Protección de Datos Personales: De conformidad con lo establecido en la Política de Privacidad, Sección 1.1, el Departamento de Protección de Datos Personales es responsable de supervisar el cumplimiento de esta política, coordinar las auditorías de seguridad, gestionar la respuesta a incidentes que involucren datos personales y mantener actualizada la documentación de seguridad.

16.2. Equipo de desarrollo: Es responsable de implementar los controles de seguridad en el código fuente y la infraestructura, aplicar las prácticas de desarrollo seguro, realizar revisiones de código con enfoque de seguridad, gestionar las dependencias y actualizaciones de seguridad, y reportar vulnerabilidades identificadas.

16.3. Dirección general: Es responsable de asignar los recursos necesarios para la implementación y mantenimiento de las medidas de seguridad, aprobar la presente política y sus actualizaciones, garantizar que la seguridad de la información sea una prioridad organizacional y asumir la responsabilidad final por el cumplimiento normativo.

16.4. Todo el personal: Es responsable de cumplir con las disposiciones de esta política, proteger la información a la que tenga acceso conforme a su clasificación, reportar de inmediato cualquier incidente o sospecha de incidente de seguridad, completar la capacitación obligatoria en seguridad y no divulgar información confidencial o restringida sin autorización.

XVII. Actualización de Esta Política

17.1. Revisión anual mínima: La presente política se revisa y, en su caso, se actualiza al menos una vez al año para asegurar su vigencia y adecuación a las condiciones actuales del entorno tecnológico y normativo.

17.2. Actualización tras incidentes de seguridad: Se evaluará la necesidad de actualizar esta política tras cualquier incidente de seguridad significativo que evidencie la necesidad de ajustar los controles, procedimientos o directrices establecidos.

17.3. Actualización por cambios tecnológicos: Se actualizará esta política cuando se realicen cambios significativos en la pila tecnológica de Walkies, incluyendo la adopción de nuevos servicios, la migración de infraestructura o la modificación de los flujos de procesamiento de datos.

17.4. Notificación de cambios: Las actualizaciones significativas a esta política se comunicarán a todo el personal obligado a su cumplimiento. La fecha de última actualización se indicará al inicio de este documento.

XVIII. Contacto

Para consultas, reportes de vulnerabilidades o cualquier asunto relacionado con la seguridad de la información de Walkies:

Walkies Technologies S.A. de C.V.

Correo electrónico: contacto@walkies.mx

Domicilio: Ciudad de México, México

Documentos relacionados:

• Política de Privacidad (Aviso de Privacidad Integral)
• Lista de Proveedores de Datos y Servicios de Terceros
• Licencia de Uso de Software (EULA)
• Política de Incidentes y Emergencias
• Términos y Condiciones

Fecha de entrada en vigor: Marzo 2026