# Política de Contingencia y Continuidad Operativa **Última actualización:** 21 de Mayo de 2026 **Responsable:** Héctor Galíndez **Versión:** 1.0 --- ## 1. Objetivo Establecer procedimientos y controles para asegurar la continuidad operativa de los servicios de facturación electrónica ante eventos disruptivos, garantizando: - Mínima interrupción de servicio - Recuperación rápida de capacidades críticas - Protección de datos y comprobantes - Cumplimiento con requisitos de la DGII --- ## 2. Alcance Esta política aplica a: - ✅ Todos los sistemas de facturación electrónica - ✅ Infraestructura de datos - ✅ Comunicaciones críticas - ✅ Certificados digitales - ✅ Servicios de terceros esenciales --- ## 3. Niveles de Continuidad Operativa ### 3.1 Objetivo de Tiempo de Recuperación (RTO) **Servicios Críticos:** - Máximo 1 hora de indisponibilidad - Restablecimiento de servicios principales - Conexión con DGII operativa **Servicios Importantes:** - Máximo 4 horas de indisponibilidad - Funcionalidades secundarias restauradas **Servicios Estándar:** - Máximo 24 horas de indisponibilidad - Funcionalidades no críticas ### 3.2 Objetivo de Punto de Recuperación (RPO) - **Pérdida máxima de datos:** 15 minutos - Backups cada 15 minutos para datos críticos - Replicación en tiempo real a centro alterno --- ## 4. Medidas de Continuidad ### 4.1 Redundancia Técnica **Servidores:** - Múltiples instancias en diferentes ubicaciones - Balanceo de carga automático - Failover automático (conmutación automática) **Bases de Datos:** - Replicación primaria-secundaria - Backup diario + incrementales cada hora - Almacenamiento geográficamente distribuido **Comunicaciones:** - Múltiples conexiones a internet - ISPs diferentes - DNS redundante **Certificados Digitales:** - Almacenamiento en HSM (Hardware Security Module) - Respaldo en ubicación alterna - Acceso seguro desde centros alternativos ### 4.2 Infraestructura **Centro de Datos Principal:** - Servidor en hosting de clase empresarial - Redundancia N+1 (capacidad de fallar sin interrupción) - UPS (Uninterruptible Power Supply) - Sistemas de refrigeración redundantes **Centro de Datos Alterno:** - Ubicación geográficamente distinta - Capacidad igual a 100% del principal - Sincronización en tiempo real - Activación en menos de 1 hora **Comunicaciones:** - Conexión redundante a proveedores - Circuitos de respaldo automático - Monitoreo de latencia --- ## 5. Plan de Recuperación ante Desastres ### 5.1 Tipos de Eventos Disruptivos **Nivel 1 - Parcial (Impacto Bajo):** - Falla de componente individual - Base de datos indisponible temporalmente - Servicio degradado - **Activación:** Automática **Nivel 2 - Importante (Impacto Medio):** - Centro de datos parcialmente indisponible - Pérdida de capacidad de procesamiento - Algunos servicios no disponibles - **Activación:** Manual / Automática **Nivel 3 - Crítico (Impacto Alto):** - Centro de datos completamente indisponible - Activación del plan completo - Conmutación a centro alterno - **Activación:** Manual inmediata **Nivel 4 - Catastrófico (Impacto Total):** - Múltiples centros afectados - Activación de protocolo de emergencia - Comunicación con DGII - **Activación:** Manual de emergencia ### 5.2 Procedimiento de Activación ``` EVENTO DISRUPTIVO ↓ DETECCIÓN (Monitoreo automático) ↓ NOTIFICACIÓN (Alertas al equipo) ↓ EVALUACIÓN (Severidad del evento) ↓ ACTIVACIÓN (Automática o manual) ↓ ACTIVACIÓN DE CENTRO ALTERNO ↓ VALIDACIÓN DE SERVICIOS ↓ COMUNICACIÓN A USUARIOS ↓ INVESTIGACIÓN Y REMEDIACIÓN ↓ RECUPERACIÓN A NORMALIDAD ↓ ANÁLISIS POST-EVENTO ``` ### 5.3 Tiempos de Respuesta | Evento | Detección | Valoración | Activación | Disponibilidad | |--------|-----------|-----------|-----------|-----------------| | Nivel 1 | < 5 min | < 10 min | Automática | < 30 min | | Nivel 2 | < 10 min | < 15 min | < 30 min | < 1 hora | | Nivel 3 | < 15 min | < 20 min | < 1 hora | < 4 horas | | Nivel 4 | < 30 min | < 45 min | < 2 horas | < 24 horas | --- ## 6. Gestión de Backups ### 6.1 Política de Backups **Frecuencia:** - Comprobantes: Cada 15 minutos (incremental) - Base de datos: Cada hora (incremental) - Configuración: Cada 24 horas (completo) - Certificados: Backup continuo **Retención:** - Últimas 24 horas: Hora a hora - Últimos 30 días: Una vez por día - Últimos 12 meses: Semanal - Permanente: Anual (7 años mínimo para e-CF) ### 6.2 Ubicación de Backups - Centro de datos principal (local) - Centro de datos alterno (remoto) - Almacenamiento en nube encriptado - Copia física en bóveda de seguridad (anual) ### 6.3 Pruebas de Recuperación - Mensual: Restauración desde backup completo - Trimestral: Simulacro de recuperación completa - Anual: Prueba de desastre total - Validación de integridad después de cada restauración --- ## 7. Comunicación y Notificación ### 7.1 Matriz de Contacto **Equipo Interno:** - Responsable Técnico: Héctor Galíndez - Email: hectorgalindez02@gmail.com - Teléfono: +1 (829) 989-1810 **Contactos Externos:** - DGII (si afecta servicios de e-CF) - Clientes principales (notificación inmediata) - Proveedores críticos (si es relevante) ### 7.2 Protocolo de Notificación **Inmediatamente (< 30 min):** - Activación de equipos de respuesta - Notificación interna - Evaluación del impacto **En 1 Hora:** - Comunicado a clientes afectados - Estimado de resolución - Actualizaciones cada 30 minutos **Resolución:** - Confirmación de normalización - Análisis de causa raíz - Plan de prevención ### 7.3 Contenido de Notificaciones - Descripción del evento - Servicios afectados - Tiempo estimado de resolución - Información de contacto - Actualizaciones periódicas --- ## 8. Monitoreo y Alerta ### 8.1 Parámetros Monitoreados **Disponibilidad:** - Tiempo de respuesta del sistema - Porcentaje de disponibilidad - Latencia de transacciones **Rendimiento:** - Uso de CPU y memoria - Espacio en disco - Velocidad de red **Seguridad:** - Intentos de acceso fallidos - Cambios no autorizados - Anomalías en logs **Bases de Datos:** - Tamaño y crecimiento - Tiempo de respuesta - Integridad de datos ### 8.2 Alertas Automáticas - **Crítica:** Notificación en < 1 minuto - **Alta:** Notificación en < 5 minutos - **Media:** Notificación en < 15 minutos - **Baja:** Reporte diario --- ## 9. Análisis Post-Evento ### 9.1 Documentación Para cada evento se documentará: - Fecha, hora y duración - Causa raíz - Impacto en servicios - Acciones tomadas - Lecciones aprendidas - Mejoras implementadas ### 9.2 Comunicación de Resultados - Reporte detallado a DGII (si aplica) - Comunicación a clientes afectados - Mejoras preventivas documentadas - Actualización de planes --- ## 10. Pruebas y Simulacros ### 10.1 Calendario de Pruebas **Mensual:** - Restauración desde backup - Validación de integridad - Prueba de failover automático **Trimestral:** - Simulacro de recuperación parcial - Conmutación a centro alterno - Validación de tiempos RTO/RPO **Semestral:** - Simulacro de desastre total - Activación del equipo de emergencia - Comunicación a clientes (simulada) **Anual:** - Prueba completa sin previo aviso - Evaluación externa - Auditoría de continuidad ### 10.2 Criterios de Éxito - Activación automática < 5 minutos - Recuperación manual < 1 hora - Pérdida de datos < 15 minutos - Comunicación oportuna - Validación de integridad exitosa --- ## 11. Documentación y Mantenimiento ### 11.1 Documentos Asociados - Plan de respuesta ante incidentes - Procedimientos de backup y restauración - Guía de administración del sistema - Contactos de emergencia - Procedimientos de comunicación ### 11.2 Actualización de Documentación - Trimestral: Revisión de procedimientos - Semestral: Actualización de contactos - Anual: Revisión completa de política - Post-evento: Actualización inmediata --- ## 12. Cumplimiento Normativo ### 12.1 Requisitos DGII - ✅ Garantía de disponibilidad 99.5% - ✅ Recuperación ante desastres - ✅ Protección de datos de contribuyentes - ✅ Preservación de e-CF - ✅ Respuesta ante emergencias ### 12.2 Estándares de Referencia - ISO 22301 (Continuidad del negocio) - ISO 27001 (Gestión de seguridad) - ITIL (IT Infrastructure Library) - OWASP (Seguridad de aplicaciones) --- ## 13. Responsabilidades **Responsable de Continuidad Operativa:** - Héctor Galíndez - Email: hectorgalindez02@gmail.com - Teléfono: +1 (829) 989-1810 **Responsables Específicos:** - **Infraestructura:** Monitoreo y alertas - **Datos:** Backups y restauración - **Comunicación:** Notificación a usuarios - **Remediación:** Investigación y solución --- ## 14. Contacto de Emergencia **24/7 - Disponibilidad Total:** - Héctor Galíndez - Teléfono: +1 (829) 989-1810 - Email de emergencia: hectorgalindez02@gmail.com --- **Versión:** 1.0 **Fecha de Vigencia:** 21 de Mayo de 2026 **Próxima Revisión:** 21 de Mayo de 2027 *Esta política garantiza la continuidad operativa de servicios críticos de facturación electrónica en cumplimiento con estándares DGII.*