CASO — NOS AUDITAMOS PRIMERO
Practicamos lo que vendemos
Octoberus opera plataformas de seguridad física para clientes de energía y telecomunicaciones. Antes de ofrecer cumplimiento de la Ley 21.719 a terceros, aplicamos la misma metodología a nuestros propios sistemas. Este es el resumen — sin datos sensibles.
Cuatro componentes, una metodología.
API de servicios
Backend que gobierna usuarios, accesos y medios
Consola web
Interfaz de operación de los clientes
App móvil
Apertura de puertas por Bluetooth, PIN y QR
Firmware
Dispositivos físicos de puerta y portón
REVISIÓN EN MODO SOLO LECTURA · SIN ACCESO A DATOS DE PRODUCCIÓN · SIN PRUEBAS CONTRA SISTEMAS EN VIVO
Categorías de hallazgos.
Clasificamos cada hallazgo por su exposición bajo la ley (leve, grave, gravísima). Aquí van las categorías, en agregado — el detalle técnico vive en un informe restringido, nunca en público.
Datos sensibles
Reconocimiento facial y biometría sin ciclo de vida definido: la categoría de mayor exigencia de la ley.
Registros internos
Datos personales completos escritos en claro en los registros de auditoría.
Superficie de API
Orígenes de las APIs sin restricción.
Reportes de fallos
Secretos y datos personales enviados a servicios de terceros sin depuración.
Almacenamiento en el dispositivo
Credenciales y datos sensibles sin cifrar en la app.
Retención
Ausencia de política de eliminación: todo se conservaba de forma indefinida.
De inmediato, lo de mayor impacto.
- 01 Redacción de datos personales en los registros de auditoría (secretos eliminados, identificadores enmascarados).
- 02 Lista blanca de orígenes configurable para las APIs.
- 03 Eliminación de secretos en los reportes de fallos de la app móvil.
- 04 Telemetría y credenciales de firma fuera del código, gestionadas por entorno.
Lo que requería cambios de base de datos, decisiones de negocio o validación en infraestructura quedó en una hoja de ruta priorizada — la misma estructura que entregamos a nuestros clientes: arreglar ahora lo seguro, planificar el resto con orden.
POR QUÉ IMPORTA
Cualquiera puede vender un informe. Nosotros pasamos por el proceso completo — diagnóstico, corrección y hoja de ruta — en sistemas reales que operan infraestructura crítica. Sabemos dónde duele porque nos dolió primero.