Saltar a contenido

Trust Center — Cumplimiento y Confianza Verificable#

El Trust Center de 23people centraliza la información sobre nuestros compromisos en materia de seguridad de la información, protección de datos personales y sostenibilidad ambiental. Estos tres pilares representan nuestra forma de operar con transparencia y responsabilidad frente a clientes, colaboradores y la sociedad.

Cada pilar está respaldado por certificaciones externas, auditorías independientes y compromisos públicos verificables — no son autodeclaraciones.


Pilar 1 — Seguridad de la Información (ISO/IEC 27001:2022)#

Certificación#

Campo Detalle
Empresa 23people SpA
N° Certificado QCC/5290/0326
Emisión 25 de marzo de 2026
Vigencia Hasta 24 de marzo de 2029
Organismo Certificador Quality Control Certification (QCC)
Acreditación ISO/IEC 17021-1

El certificado puede descargarse desde 23people.io/trust-center y verificarse en iafcertsearch.org. Para solicitar una copia oficial adicional, escribe a seguridad@23people.io.

¿Qué es ISO 27001?#

ISO/IEC 27001:2022 es el estándar internacional más reconocido para la gestión de la seguridad de la información. Establece los requisitos para implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI).

Para los clientes de 23people, contar con un partner certificado en ISO 27001 significa que la empresa ha sido auditada por un organismo independiente y acreditado —Quality Control Certification (QCC)— y que cumple con más de 90 controles de seguridad organizados en los dominios del Anexo A de la norma. Esto no es una autodeclaración: es una verificación externa y periódica de que nuestros procesos, tecnología y personas operan bajo un marco de seguridad robusto.

Estar certificados implica que 23people gestiona proactivamente los riesgos de seguridad de la información en todos sus servicios: desde el desarrollo de software hasta la consultoría tecnológica y la operación de plataformas.

Controles de Seguridad#

Los controles del SGSI abarcan ocho dominios:

  • Control de Acceso: Gestión de identidades, autenticación multifactor, privilegios mínimos y revisiones periódicas de accesos.
  • Criptografía: Cifrado en reposo y en tránsito, gestión de claves criptográficas y políticas de uso de algoritmos seguros.
  • Seguridad Física: Centros de datos con certificación, controles de acceso físico, monitoreo ambiental y protección perimetral.
  • Seguridad Operacional: Gestión de cambios, protección contra malware, copias de seguridad y procedimientos de recuperación.
  • Seguridad de Comunicaciones: Redes segmentadas, firewalls de próxima generación, VPNs y monitoreo continuo de tráfico.
  • Adquisición y Desarrollo: SDLC seguro, revisiones de código, pruebas de seguridad automatizadas y gestión de vulnerabilidades.
  • Gestión de Proveedores: Due diligence de seguridad, acuerdos de nivel de seguridad (SLA) y monitoreo continuo de terceros.
  • Gestión de Incidentes: Plan de respuesta a incidentes, notificación oportuna y lecciones aprendidas para mejora continua.

Ciclo PDCA#

El SGSI opera bajo el ciclo de mejora continua Plan-Do-Check-Act:

  • Plan (Planificar): Definición de políticas de seguridad, establecimiento de objetivos del SGSI, evaluación de riesgos y selección de controles adecuados al contexto de la organización.
  • Do (Implementar): Despliegue de los controles de seguridad seleccionados, formación y concientización del personal, y operación diaria del sistema de gestión.
  • Check (Verificar): Auditorías internas periódicas, monitoreo de indicadores de desempeño, medición de la eficacia de los controles y revisión del cumplimiento.
  • Act (Mejorar): Implementación de acciones correctivas y preventivas, mejora continua del SGSI y revisión por la dirección para asegurar la alineación estratégica.

Roadmap de Seguridad#

Iniciativa Estado Fecha estimada
Certificación ISO/IEC 27001:2022 ✅ Completado Mar 2026
Auditoría de seguimiento 1 🔄 En curso Sep 2026
Programa de concientización en seguridad 🔄 En curso Dic 2026
Certificación ISO/IEC 27701 (Privacidad) 📋 Próximo Jun 2027
Pentesting externo anual 📋 Próximo Dic 2026

Preguntas Frecuentes — Seguridad#

¿Cómo puedo solicitar una copia del certificado ISO 27001?

Puedes descargar una copia digital del certificado directamente desde 23people.io/trust-center. Si requieres una copia oficial adicional o verificada, puedes escribirnos a seguridad@23people.io y te la enviaremos.

¿Qué cubre exactamente la certificación ISO 27001 de 23people?

La certificación cubre el Sistema de Gestión de Seguridad de la Información (SGSI) de 23people SpA, incluyendo todos los servicios de desarrollo de software, consultoría tecnológica y operación de plataformas que la empresa entrega a sus clientes. El alcance abarca los procesos de diseño, desarrollo, implementación, operación y soporte, así como la gestión del talento técnico asociado.

¿Cada cuánto se audita la certificación?

La certificación ISO 27001 tiene una vigencia de tres años. Durante ese período, se realizan auditorías de seguimiento anuales (vigilancia) para verificar que el sistema de gestión se mantiene conforme a los requisitos de la norma. Al finalizar el ciclo de tres años, se realiza una auditoría de recertificación completa.

¿Cómo reportar un incidente de seguridad o una vulnerabilidad?

Si detectas una vulnerabilidad de seguridad o deseas reportar un incidente, puedes escribirnos a seguridad@23people.io. Nuestro equipo de seguridad revisa estos reportes con prioridad y mantiene comunicación con quien reporta a lo largo del proceso de investigación y remediación. Nos comprometemos a acusar recibo en un plazo máximo de 48 horas hábiles.

¿Cómo garantizan la seguridad al trabajar con talento externo?

La seguridad al trabajar con talento externo es parte integral de nuestro SGSI y está cubierta por nuestro proceso de Gestión de Proveedores. Realizamos due diligence de seguridad antes de incorporar cualquier colaborador externo, exigimos NDAs y acuerdos de confidencialidad, verificamos antecedentes cuando es aplicable, y todo el personal —interno y externo— recibe formación obligatoria en seguridad de la información. Además, el acceso a nuestros sistemas y a los de nuestros clientes se rige por el principio de privilegios mínimos y se revisa periódicamente.

¿Qué hacer si sospecho una brecha de seguridad?

Si sospechas una brecha de seguridad que involucre a 23people o a alguno de sus servicios, notifícalo de inmediato a través de seguridad@23people.io. En tu mensaje, incluye: descripción del incidente, fecha y hora aproximada, servicios o sistemas afectados, y cualquier evidencia disponible. Activarás así nuestro Procedimiento de Gestión de Incidentes, que contempla contención, investigación, notificación a afectados cuando corresponda y acciones correctivas. No investigues por tu cuenta — es preferible preservar la evidencia y dejar que nuestro equipo especializado realice el análisis forense.


Pilar 2 — Protección de Datos Personales (Ley N° 21.719)#

La Ley N° 21.719 de Protección de Datos Personales, publicada el 13 de diciembre de 2024, es la nueva normativa chilena que moderniza el marco regulatorio de privacidad y tratamiento de datos personales en Chile. Esta ley tiene plena vigencia y fiscalización a partir de diciembre de 2026, y es fiscalizada por la nueva Agencia de Protección de Datos Personales, organismo técnico encargado de velar por el cumplimiento y aplicar sanciones.

Obligaciones principales para 23people#

  • Consentimiento informado: Toda recolección de datos personales debe contar con consentimiento explícito, informado y verificable del titular.
  • Limitación de finalidad: Los datos solo pueden ser utilizados para las finalidades específicas informadas al titular y no para propósitos incompatibles.
  • Derechos ARCO: Los titulares tienen derecho de Acceso, Rectificación, Cancelación y Oposición sobre sus datos personales, y las empresas deben responder en plazos legales.
  • Medidas de seguridad: Obligación de implementar medidas técnicas y organizativas apropiadas para proteger los datos personales contra accesos no autorizados, pérdida o filtración.
  • Notificación de brechas: En caso de violación de seguridad que afecte datos personales, existe la obligación de notificar a la autoridad y, en ciertos casos, a los titulares afectados.
  • Delegado de Protección de Datos: Designación obligatoria de un responsable interno ante la autoridad de control.

Sanciones#

El incumplimiento de la Ley 21.719 puede conllevar multas de hasta 20.000 UTM (aproximadamente $1.300 millones de pesos chilenos a valor 2026) o hasta el 4% de los ingresos anuales de la empresa, lo que resulte mayor. Además, la autoridad puede ordenar la suspensión temporal de operaciones de tratamiento de datos e imponer medidas correctivas obligatorias.

ARCO Legal es la plataforma SaaS desarrollada por 23people que automatiza el cumplimiento con la Ley N° 21.719. Diseñada para empresas chilenas que necesitan adecuarse a la nueva normativa de protección de datos personales sin complejidad legal ni técnica.

Funcionalidades principales:

  • Gestión de derechos ARCO
  • Registro de tratamiento
  • Evaluación de impacto (DPIA)
  • Generación de políticas
  • Notificación de brechas
  • Portal del titular

Roadmap de Adecuación#

Iniciativa Estado Fecha
Designación de Delegado de Protección de Datos ✅ Completado Ene 2026
Inventario de datos personales ✅ Completado Feb 2026
Política de Privacidad actualizada ✅ Completado Mar 2026
Procedimientos de derechos ARCO 🔄 En curso Jun 2026
Evaluación de impacto (DPIA) 🔄 En curso Sep 2026
Acuerdos de encargado de tratamiento 📋 Próximo Oct 2026
Adecuación completa a Ley 21.719 📋 Próximo Dic 2026

Pilar 3 — Compromiso Climático (SBTi)#

Nuestro Compromiso#

23people ha adoptado formalmente los Science Based Targets (SBTi), la iniciativa global que valida que los objetivos de reducción de emisiones de una empresa estén alineados con la ciencia climática y el Acuerdo de París —limitar el calentamiento global a 1.5°C sobre niveles preindustriales—.

Nuestros objetivos de reducción de emisiones de gases de efecto invernadero (GEI), basados en ciencia y en proceso de validación por SBTi, son:

  • Reducción del 50% de emisiones Alcance 1 y 2 para 2030 (año base 2024). Esto incluye emisiones directas de nuestras operaciones y emisiones indirectas por consumo eléctrico.
  • Carbono neutralidad (net-zero) para 2040 en todos los alcances (1, 2 y 3).
  • Reducción del 30% de emisiones Alcance 3 para 2030, cubriendo nuestra cadena de valor: viajes, desplazamientos, servicios en la nube, y compras.

Como empresa 100% digital y remota, nuestra huella operativa directa es inherentemente baja en comparación con industrias tradicionales. No obstante, somos conscientes del impacto de nuestros servicios en la nube y la infraestructura tecnológica, y trabajamos con proveedores cloud que cuentan con certificaciones de energía renovable y eficiencia energética. Nuestro compromiso SBTi es público, medible y auditado.

Gobernanza#

La gobernanza de sostenibilidad en 23people está estructurada para asegurar que el compromiso ambiental sea transversal a toda la organización, con responsabilidades claras y rendición de cuentas periódica.

  • Sustainability Leader: Responsable de la estrategia ambiental corporativa, reporta directamente a la dirección ejecutiva. Define objetivos, supervisa la medición de huella y representa a 23people ante SBTi y otros foros de sostenibilidad.
  • Green Ambassadors: Un representante por equipo (ingeniería, diseño, operaciones, talento) que promueve prácticas sostenibles en el día a día, lidera iniciativas locales de reducción de impacto y reporta al Sustainability Leader.
  • Tech Sustainability Lead: Enfocado en la eficiencia energética de nuestra infraestructura tecnológica, optimización de cargas en la nube, selección de proveedores con criterios de sostenibilidad y medición del Alcance 3 tecnológico.

Se realizan reuniones mensuales del comité de sostenibilidad, medición anual de huella de carbono bajo GHG Protocol, y reporte transparente de avances a todos los grupos de interés.

Roadmap Ambiental#

Iniciativa Estado Fecha
Adopción de compromiso SBTi ✅ Completado Ene 2025
Definición de política ambiental ✅ Completado Jun 2025
Medición de huella de carbono (GHG Protocol) 🔄 En curso Dic 2026
Estrategia de reducción de emisiones 📋 Próximo Jun 2027
Compensación de carbono 📋 Próximo Dic 2027
Reporte de sostenibilidad 📋 Próximo Mar 2027

Preguntas Frecuentes — Sostenibilidad#

¿Qué son los Science Based Targets (SBTi)?

Los Science Based Targets (SBTi) son objetivos de reducción de emisiones de gases de efecto invernadero alineados con lo que la ciencia climática más reciente considera necesario para limitar el calentamiento global a 1.5°C. La iniciativa SBTi es una colaboración entre CDP, Pacto Mundial de las Naciones Unidas, WRI y WWF. Las empresas que adoptan SBTi se comprometen públicamente a metas de reducción cuantificables, verificables y con plazos definidos, demostrando un compromiso climático real y no meramente declarativo.

¿Cómo mide 23people su huella de carbono?

Utilizamos la metodología del GHG Protocol (Greenhouse Gas Protocol), el estándar internacional más utilizado para la contabilidad de emisiones. Esto incluye la medición de los tres alcances: Alcance 1 (emisiones directas de fuentes propias), Alcance 2 (emisiones indirectas por consumo de electricidad) y Alcance 3 (emisiones de la cadena de valor, incluyendo proveedores cloud, viajes y desplazamientos del equipo). La medición se realiza anualmente y los resultados serán publicados en nuestro reporte de sostenibilidad.

¿Cuándo alcanzará 23people la carbono neutralidad?

Nuestro objetivo es alcanzar la carbono neutralidad (net-zero) para el año 2040, cubriendo los tres alcances de emisiones. Este es un objetivo de largo plazo que requiere transformaciones progresivas en nuestra cadena de valor, la adopción de tecnologías más eficientes y la compensación de emisiones residuales. Como hitos intermedios, hemos establecido una reducción del 50% en emisiones Alcance 1+2 para 2030 y del 30% en Alcance 3 para el mismo año.


Contacto#

Para cualquier consulta relacionada con seguridad de la información, protección de datos o sostenibilidad: