Política de Seguridad de la Información

Marketplace FYN LLC (constituida conforme a las leyes del Estado de Wyoming, en adelante "FYN") adopta esta Política de Seguridad de la Información en cumplimiento de la legislación aplicable en materia de protección de datos personales, notificación de incidentes de seguridad y prácticas comerciales razonables.

La presente política se interpreta conforme a las leyes del Estado de Wyoming y, en la medida en que resulten aplicables por razón del usuario o la jurisdicción de tratamiento, también conforme al Reglamento General de Protección de Datos de la Unión Europea (RGPD) y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México (LFPDPPP).

FYN protege la información bajo los siguientes principios:

• Confidencialidad: Acceso restringido a personas autorizadas.
• Integridad: Protección contra alteración indebida.
• Disponibilidad: Acceso razonablemente continuo a la información.
• Proporcionalidad: Implementación de medidas acordes a la naturaleza tecnológica del servicio.
• Minimización: Recopilación únicamente de los datos necesarios para la operación de la plataforma.

3.1 Cifrado en Tránsito: FYN implementa cifrado de extremo a extremo en tránsito mediante protocolos TLS (Transport Layer Security) en todas las comunicaciones entre el usuario y la plataforma.

3.2 Cifrado en Reposo (AES-256): Todos los datos personales y financieros almacenados en los sistemas de FYN están cifrados mediante el estándar AES-256. Esto abarca datos de identidad y perfil del usuario, información financiera y de transacciones, documentos de cumplimiento y verificación de identidad (KYC), registros de actividad y preferencias, y copias de seguridad.

3.3 Controles Adicionales:

• Autenticación segura y controles de acceso basados en roles (RBAC).
• Autenticación multifactor (MFA) para accesos administrativos y usuarios finales.
• Monitoreo continuo de actividad y registros de auditoría.
• Protección activa contra accesos no autorizados y ataques conocidos.
• Copias de seguridad periódicas, cifradas y almacenadas de forma redundante.
• Evaluación técnica de proveedores tecnológicos y terceros con acceso a datos.

FYN reconoce que la certificación SOC 2 Type II representa el estándar de referencia en materia de seguridad para plataformas tecnológicas financieras.

La certificación SOC 2 Type II es una auditoría independiente realizada por un auditor certificado (CPA) que verifica durante un periodo mínimo de 6 a 12 meses que los controles de seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad de una organización operan de forma efectiva y continua.

Estado actual y hoja de ruta:

• FYN se encuentra en proceso de evaluación para la obtención de la certificación SOC 2 Type II.
• Como paso previo, FYN está implementando los controles organizativos, técnicos y de auditoría requeridos.
• Se prevé iniciar el periodo formal de auditoría durante el ejercicio 2026–2027.
• Una vez obtenida, el informe SOC 2 Type II estará disponible para usuarios institucionales bajo acuerdo de confidencialidad.

Mientras la certificación esté en proceso, FYN implementa controles equivalentes a los criterios de servicio en confianza (Trust Service Criteria) del AICPA.

FYN adopta los siguientes controles organizativos:

• Acceso limitado a datos personales bajo principio de necesidad operativa (need-to-know).
• Políticas internas de confidencialidad y acuerdos de no divulgación para el personal con acceso a datos.
• Protocolos documentados de respuesta a incidentes de seguridad.
• Evaluación de diligencia debida (due diligence) de terceros que procesan información en nombre de FYN.
• Revisión periódica de prácticas de seguridad y actualización de controles.
• Programa de formación en seguridad de la información para el equipo interno.

6.1 Definición: Se entenderá por Brecha de Seguridad el acceso no autorizado, adquisición no autorizada, divulgación indebida o exposición accidental de información personal que comprometa la seguridad, confidencialidad o integridad de dicha información.

6.2 Procedimiento de Respuesta: Ante la identificación de una posible brecha de seguridad, FYN realizará una investigación documentada, adoptará medidas inmediatas de contención, evaluará el riesgo de daño real y mantendrá registros documentados de cualquier incidente investigado.

6.3 Plazos de Notificación por Jurisdicción:

• Wyoming (EE.UU.): Plazo razonable conforme a la Wyoming Data Breach Notification Act (W.S. § 40-12-501 et seq.) ante el Wyoming Attorney General.
• Unión Europea: 72 horas desde el conocimiento de la brecha conforme al RGPD (Art. 33 y 34) ante la autoridad de control del Estado miembro correspondiente.
• México: Notificación inmediata al titular afectado conforme a la LFPDPPP (Art. 20), con comunicación al INAI cuando corresponda.

6.4 Contenido de la Notificación: Descripción general del incidente, tipo de información comprometida, medidas adoptadas por FYN para contener el incidente, recomendaciones para mitigar posibles riesgos y datos de contacto del responsable de protección de datos.

Cuando el Usuario accede a la plataforma mediante la aplicación móvil, la información se transmite utilizando protocolos de comunicación cifrada (TLS). Pueden emplearse mecanismos de autenticación adicional, como verificación multifactor cuando esté habilitada.

El usuario es responsable de mantener su dispositivo protegido mediante contraseña o biometría, instalar actualizaciones del sistema operativo y de la aplicación, no utilizar redes públicas no seguras para operaciones sensibles, y no instalar versiones no oficiales o modificadas de la aplicación.

FYN no será responsable por vulnerabilidades derivadas de dispositivos comprometidos, jailbreak, rooting o manipulación del sistema operativo del usuario.

FYN realiza esfuerzos razonables para mantener la disponibilidad de la plataforma web y móvil. No obstante:

• No garantiza disponibilidad ininterrumpida.
• Puede suspender el servicio por mantenimiento, mejoras o causas externas.
• No será responsable por interrupciones derivadas de fallas de proveedores tecnológicos, servicios en la nube o redes de telecomunicaciones.

El usuario reconoce expresamente que:

• Ningún sistema tecnológico es completamente seguro.
• La transmisión electrónica de datos implica riesgos inherentes.
• No puede garantizarse seguridad absoluta frente a ataques sofisticados o eventos fuera del control razonable de FYN.
• El uso de la plataforma implica aceptación de dichos riesgos.

Salvo disposición legal imperativa en contrario, FYN no será responsable por:

• Daños indirectos o consecuenciales derivados de incidentes de seguridad.
• Pérdidas derivadas de accesos no autorizados cuando el usuario haya incumplido sus obligaciones de seguridad.
• Interrupciones temporales del servicio.

FYN podrá modificar la presente Política conforme a necesidades operativas, tecnológicas o regulatorias. Las modificaciones entrarán en vigor tras su publicación en el sitio web o aplicación con la fecha de actualización correspondiente.

Para cualquier consulta relacionada con esta Política, solicitudes de ejercicio de derechos o notificación de incidentes:

Para usuarios en la Unión Europea: en caso de que FYN designe formalmente un Delegado de Protección de Datos (DPO) conforme al Art. 37 del RGPD, sus datos de contacto serán publicados en esta sección.