Politica de Gestion de Incidentes de Seguridad

Una brecha de seguridad es todo incidente que resulte en la destruccion, perdida, alteracion accidental o ilicita, divulgacion no autorizada, o el acceso no autorizado a datos personales tratados por cepaos.

Esto incluye, entre otros casos:

• Acceso no autorizado a datos personales almacenados en nuestros sistemas.
• Exfiltracion o copia de datos personales por parte de terceros no autorizados.
• Perdida o destruccion accidental de datos sin posibilidad de recuperacion.
• Divulgacion accidental de datos a destinatarios no autorizados.
• Compromiso de credenciales de acceso que hayan permitido el acceso a datos personales.

cepaos se compromete a gestionar cualquier brecha de seguridad con transparencia, diligencia y apego a la normativa argentina de proteccion de datos personales (Ley 25.326 y normas complementarias).

Ante una brecha confirmada que afecte datos personales:

• Notificaremos a los usuarios afectados dentro de los 5 dias habiles de haber determinado el alcance de la brecha y contenido el incidente.
• Notificaremos a la Agencia de Acceso a la Informacion Publica (AAIP) dentro de las 72 horas de haber tomado conocimiento de la brecha, conforme a la Disposicion AAIP N. 2/2023 (Reglamento de Incidentes de Seguridad de la Informacion).
• Adoptaremos medidas tecnicas y organizativas inmediatas para contener el incidente y prevenir su recurrencia.

Cuando cepaos notifique a usuarios sobre una brecha de seguridad que los afecte, la comunicacion incluira:

• Naturaleza del incidente: descripcion clara de que ocurrio, en terminos comprensibles.
• Datos afectados: categorias de datos personales que podrian haber sido accedidos, alterados o divulgados.
• Periodo del incidente: el lapso de tiempo durante el cual los datos estuvieron expuestos, en la medida en que sea determinable.
• Medidas adoptadas: acciones tomadas por cepaos para contener el incidente y proteger los datos.
• Recomendaciones para el usuario: pasos concretos que puede tomar para reducir su exposicion (p. ej., cambio de contrasena).
• Contacto: canal directo para consultas y seguimiento.

Las notificaciones a usuarios afectados se realizaran por las siguientes vias:

• Email registrado: correo electronico enviado a la direccion registrada en la cuenta cepaos del usuario.
• Aviso en el dashboard: notificacion visible al ingresar a la plataforma, disponible para todos los miembros de las organizaciones afectadas.

En casos de alta gravedad con impacto generalizado, cepaos podra adicionalmente publicar un aviso en su sitio web.

Si como usuario detecta o sospecha de actividad inusual en su cuenta cepaos, o cree haber identificado una vulnerabilidad de seguridad en la plataforma, le pedimos que nos lo informe de inmediato:

• Email de seguridad: security@cepaos.com

Nos comprometemos a responder dentro de las 24 horas habiles de recibido su reporte.

Si reporta una vulnerabilidad de seguridad de buena fe, cepaos se compromete a no tomar acciones legales en su contra por dicho reporte, siempre que no haya accedido, copiado ni divulgado datos de terceros.

cepaos mantiene un registro interno de todos los incidentes de seguridad declarados.

A la fecha de actualizacion de esta politica (27 de marzo de 2026), no se han registrado brechas de seguridad que hayan afectado datos personales de usuarios.

Este historial se actualizara ante cualquier incidente futuro que deba ser comunicado a los usuarios afectados.

Esta politica se enmarca en la siguiente normativa de proteccion de datos personales:

• Ley 25.326 — Ley de Proteccion de Datos Personales de la Republica Argentina y sus normas reglamentarias.
• Disposicion AAIP N. 2/2023 — Reglamento de Incidentes de Seguridad de la Informacion de la Agencia de Acceso a la Informacion Publica. Establece la obligacion de notificar brechas dentro de las 72 horas de conocido el incidente.

Para mas informacion sobre como cepaos trata sus datos personales, consulte nuestra Politica de Privacidad.

Para consultas sobre esta politica o para reportar un incidente:

• Seguridad: security@cepaos.com
• Privacidad y datos personales: privacy@cepaos.com
• cepaos LLC — Wyoming, Estados Unidos