SOC 2 Type II

En proceso

Certificación Service Organization Control 2 para seguridad, disponibilidad y confidencialidad

Law 172-13

Cumplido

Ley N.° 172-13 — Ley de Protección Integral de Datos Personales de la República Dominicana

GDPR-Aligned

Alineado

Prácticas equivalentes al RGPD — infraestructura alojada en Alemania, estándares RGPD aplicados voluntariamente

Law 183-02

Cumplido

Ley N.° 183-02 — Ley Monetaria y Financiera de la República Dominicana

PCI DSS

En proceso

Estándar de seguridad de datos de la industria de tarjetas de pago

ISO 27001

En progreso

Certificación del sistema de gestión de seguridad de la información

Cumplimiento normativo

HipoTech está constituida bajo las leyes de la República Dominicana y opera dentro del marco regulatorio dominicano como su jurisdicción primaria. Nuestro programa de cumplimiento está diseñado para proteger los datos de los clientes, mantener la integridad de nuestro modelo de pasarela tecnológica y cumplir con los requisitos de cada jurisdicción a la que accedemos en nuestra expansión internacional.

1. Protección de datos — República Dominicana

Ley N.° 172-13 — Protección Integral de los Datos Personales

Como empresa dominicana, nuestra obligación primaria en materia de protección de datos es la Ley N.° 172-13. Nuestro cumplimiento incluye:

  • Consentimiento explícito de los titulares de datos antes de la recopilación y el tratamiento (Artículo 76)
  • Consentimiento para transferencia internacional conforme al Artículo 80 — los usuarios consienten expresamente el almacenamiento de datos en Alemania en el momento del registro
  • Derechos de Habeas Data — acceso, rectificación, cancelación y oposición (Artículo 17)
  • Limitación de finalidad — los datos se recopilan únicamente para el procesamiento de solicitudes hipotecarias
  • Retención de datos de cinco años, alineada con los requisitos de mantenimiento de registros financieros
  • Medidas de seguridad proporcionadas a la sensibilidad de los datos financieros y de identidad

Prácticas equivalentes al RGPD

Nuestra infraestructura es operada por Hetzner Online GmbH en Alemania, un Estado miembro de la UE sujeto al RGPD. Aplicamos voluntariamente estándares equivalentes al RGPD, incluyendo:

  • Base jurídica para todas las actividades de tratamiento de datos
  • Derechos de los titulares equivalentes al RGPD: acceso, rectificación, supresión y portabilidad
  • Evaluaciones de impacto en la protección de datos para actividades de tratamiento de alto riesgo
  • Principios de privacidad desde el diseño aplicados en toda la plataforma
  • Procedimientos de notificación de brechas de datos alineados con el estándar de 72 horas del RGPD

2. Cumplimiento de servicios financieros — República Dominicana

Ley N.° 183-02 — Ley Monetaria y Financiera

HipoTech opera como pasarela tecnológica y no como intermediario financiero regulado bajo la Ley 183-02. Nuestro cumplimiento incluye:

  • Mantenimiento del carácter automatizado y no consultivo de la plataforma — sin recomendaciones crediticias ni decisiones de préstamo
  • Plena transparencia en los acuerdos comerciales con los bancos asociados, incluyendo la divulgación de honorarios de captación en los Términos de Servicio
  • Protección de datos de los solicitantes coherente con los requisitos de la Superintendencia de Bancos
  • Medidas de concienciación AML apropiadas para un operador de pasarela tecnológica

Prácticas de plataforma no discriminatorias

HipoTech está comprometida con el acceso igualitario a los servicios hipotecarios:

  • Las solicitudes se envían simultáneamente a todos los bancos elegibles — ningún banco es favorecido ni excluido en función de ninguna característica protegida
  • La evaluación de elegibilidad se basa únicamente en los criterios publicados por cada banco — HipoTech no ejerce ninguna discrecionalidad
  • El Gestor de Documentos automatizado aplica el mismo proceso de manera uniforme a cada solicitud
  • Los precios son uniformes — todos los solicitantes del mismo nivel pagan las mismas tarifas independientemente de su perfil

3. Certificaciones de seguridad

SOC 2 Tipo II

Estamos obteniendo la certificación SOC 2 Tipo II, que validará:

  • Seguridad: Protección contra el acceso no autorizado
  • Disponibilidad: Compromisos de fiabilidad y tiempo de actividad del sistema
  • Integridad del procesamiento: Procesamiento de solicitudes preciso y completo
  • Confidencialidad: Protección de la información confidencial de solicitantes y bancos
  • Privacidad: Tratamiento adecuado de los datos personales y financieros

Estado actual: Auditoría en curso — contacte a [email protected] para conocer el estado actual

PCI DSS

Trabajamos hacia la certificación PCI DSS para el procesamiento de tarjetas de pago. Medidas actuales vigentes:

  • Todo el procesamiento de pagos se realiza a través de proveedores terceros certificados PCI — los datos de las tarjetas nunca llegan a los servidores de HipoTech
  • Cifrado TLS 1.3 para todos los flujos de pago
  • Control de acceso estricto y segmentación de red para sistemas relacionados con pagos
  • Análisis de vulnerabilidades periódicos de la infraestructura relacionada con pagos
  • Certificación formal PCI DSS prevista conforme crezca el volumen de transacciones

ISO 27001

Trabajamos hacia la certificación ISO 27001 para nuestro Sistema de Gestión de Seguridad de la Información:

  • Evaluación y tratamiento de riesgos en todos los activos de información
  • Políticas y procedimientos de seguridad documentados
  • Gestión de incidentes y planificación de continuidad del negocio
  • Mejora continua mediante auditorías internas y externas periódicas
  • Validación por organismo de certificación acreditado

4. Prevención del blanqueo de capitales (PBC) y verificación de identidad

HipoTech implementa medidas de concienciación AML apropiadas para una pasarela tecnológica. Las obligaciones formales AML recaen en los bancos asociados, que realizan sus propios procedimientos de KYC y AML sobre todas las solicitudes recibidas. Nuestras medidas a nivel de plataforma incluyen:

  • Verificación de identidad en el registro — se exigen nombre completo, cédula de identidad nacional y datos de contacto
  • Integración con el buró de crédito para el cruce de datos de identidad
  • Verificaciones automatizadas de coherencia documental — nombre, fecha de nacimiento y empleador cruzados entre los documentos cargados por el Gestor de Documentos
  • Todos los registros de solicitudes y pagos se conservan durante un mínimo de cinco años
  • Las alertas de coherencia documental se comunican a los bancos asociados a través del Informe de Condiciones

5. Controles internos y auditoría

Mantenemos controles internos robustos para garantizar la integridad de la plataforma y la seguridad de los datos:

  • Seguimiento automatizado de excepciones y detección de anomalías activo en todo momento
  • Registro de auditoría integral — todas las acciones administrativas y los eventos de acceso a datos quedan registrados de forma inalterable
  • Sealed Secrets para la gestión de credenciales — ningún secreto en texto plano en los repositorios de código
  • Cifrado de envolvente GCP KMS para todos los documentos del vault
  • Planificación de respuesta a incidentes y revisiones de seguridad programadas

6. Integridad operativa

HipoTech mantiene estrictos estándares operativos que sustentan su posición jurídica como pasarela tecnológica:

  • El Gestor de Documentos es 100% automatizado — ningún empleado ni contratista de HipoTech revisa los documentos de los solicitantes en ninguna etapa
  • Todos los acuerdos bancarios se firman en nombre de HipoTech — el modelo de licencia no transfiere los derechos de contratación bancaria
  • Los acuerdos de honorarios de captación con los bancos se divulgan a los solicitantes en los Términos de Servicio y no influyen en qué bancos reciben las solicitudes
  • Las tarifas de la plataforma provienen de la configuración en tiempo real — nunca están codificadas en la interfaz
  • La autenticación multifactor está disponible para todas las cuentas de usuario

7. Gestión de riesgos de terceros

Todos los proveedores de infraestructura y socios de servicios son seleccionados y revisados por su cumplimiento en materia de seguridad y protección de datos:

  • Hetzner Online GmbH (Alemania) — centros de datos certificados ISO 27001; sujetos al RGPD como encargado del tratamiento conforme a nuestro acuerdo de procesamiento
  • Google Cloud KMS — gestión de claves de cifrado de envolvente; certificado SOC 2 Tipo II e ISO 27001
  • Cloudflare — mitigación de DDoS, terminación TLS y enrutamiento de correo electrónico; certificado SOC 2 Tipo II
  • DeepL — API de traducción; cumple el RGPD; procesamiento confinado a la infraestructura de la UE
  • Acuerdos de procesamiento de datos vigentes con todos los proveedores que manejan datos personales

8. Hoja de ruta de cumplimiento

Objetivos de cumplimiento 2026–2027:

  • Completar la auditoría SOC 2 Tipo II y obtener la certificación
  • Iniciar el análisis de brechas ISO 27001 e implementar la documentación del SGSI
  • Completar la auditoría de certificación ISO 27001
  • Preparar el marco de cumplimiento específico por país para la entrada al mercado mexicano

9. Contactar a nuestro equipo de cumplimiento

Para consultas relacionadas con el cumplimiento o para reportar inquietudes:

Cumplimiento de HipoTech

Correo electrónico: [email protected]