Saltar al contenido
Octo Inc. — Unidad de Protección de Datos
Octoberus DATOS

CASO — NOS AUDITAMOS PRIMERO

Practicamos lo que vendemos

Octoberus opera plataformas de seguridad física para clientes de energía y telecomunicaciones. Antes de ofrecer cumplimiento de la Ley 21.719 a terceros, aplicamos la misma metodología a nuestros propios sistemas. Este es el resumen — sin datos sensibles.

El alcance

Cuatro componentes, una metodología.

API de servicios

Backend que gobierna usuarios, accesos y medios

Consola web

Interfaz de operación de los clientes

App móvil

Apertura de puertas por Bluetooth, PIN y QR

Firmware

Dispositivos físicos de puerta y portón

REVISIÓN EN MODO SOLO LECTURA · SIN ACCESO A DATOS DE PRODUCCIÓN · SIN PRUEBAS CONTRA SISTEMAS EN VIVO

Qué encontramos

Categorías de hallazgos.

Clasificamos cada hallazgo por su exposición bajo la ley (leve, grave, gravísima). Aquí van las categorías, en agregado — el detalle técnico vive en un informe restringido, nunca en público.

01

Datos sensibles

Reconocimiento facial y biometría sin ciclo de vida definido: la categoría de mayor exigencia de la ley.

02

Registros internos

Datos personales completos escritos en claro en los registros de auditoría.

03

Superficie de API

Orígenes de las APIs sin restricción.

04

Reportes de fallos

Secretos y datos personales enviados a servicios de terceros sin depuración.

05

Almacenamiento en el dispositivo

Credenciales y datos sensibles sin cifrar en la app.

06

Retención

Ausencia de política de eliminación: todo se conservaba de forma indefinida.

Qué corregimos

De inmediato, lo de mayor impacto.

  • 01 Redacción de datos personales en los registros de auditoría (secretos eliminados, identificadores enmascarados).
  • 02 Lista blanca de orígenes configurable para las APIs.
  • 03 Eliminación de secretos en los reportes de fallos de la app móvil.
  • 04 Telemetría y credenciales de firma fuera del código, gestionadas por entorno.

Lo que requería cambios de base de datos, decisiones de negocio o validación en infraestructura quedó en una hoja de ruta priorizada — la misma estructura que entregamos a nuestros clientes: arreglar ahora lo seguro, planificar el resto con orden.

POR QUÉ IMPORTA

Cualquiera puede vender un informe. Nosotros pasamos por el proceso completo — diagnóstico, corrección y hoja de ruta — en sistemas reales que operan infraestructura crítica. Sabemos dónde duele porque nos dolió primero.