Contraseñas y accesos
Tus credenciales son la llave maestra de los sistemas de LarimarPay. Este protocolo define, con reglas de cumplimiento obligatorio (prefijo CA), cómo crearlas, protegerlas y usarlas para que solo tú puedas abrir esa puerta.
Creación de contraseñas
Toda contraseña corporativa debe ser resistente a ataques de fuerza bruta y de diccionario. El colaborador debe cumplir las siguientes reglas al crear y almacenar sus credenciales:
- Usa mínimo 12 caracteres combinando mayúsculas, minúsculas, números y símbolos.
- Prefiere frases de contraseña: tres o más palabras sin relación (ej. "nube!Cacao7velero").
- Usa una contraseña diferente para cada sistema.
- Guarda tus credenciales solo en el gestor de contraseñas autorizado.
- No uses datos personales: cédula, fecha de nacimiento, nombres de familiares.
- No reutilices contraseñas personales en sistemas de la empresa.
- No las anotes en papel, notas del celular ni archivos sin cifrar.
- No uses patrones de teclado como "Qwerty123!".
Autenticación multifactor (MFA)
La contraseña sola no basta. El segundo factor detiene la gran mayoría de los accesos no autorizados. Su uso es obligatorio en correo y en la plataforma e-CF.
- Activa MFA en todos los sistemas que lo permitan.
- Usa la app de autenticación corporativa como segundo factor.
- Reporta de inmediato solicitudes MFA que tú no iniciaste.
- No apruebes notificaciones MFA que no solicitaste ("fatiga de MFA" es una táctica de ataque).
- No compartas códigos de verificación con nadie, ni siquiera con "soporte técnico".
- No uses SMS como segundo factor si hay una opción de app disponible.
Gestión y ciclo de vida de accesos
Cada acceso es personal, intransferible y auditable. Se otorga por rol bajo el principio de mínimo privilegio, se revisa al cambiar de función y se revoca de inmediato al salir de la empresa.
- Bloquea tu sesión (Win+L / Ctrl+Cmd+Q) cada vez que te levantes del puesto.
- Rota tus contraseñas críticas cada 90 días o ante cualquier sospecha.
- Solicita accesos únicamente por el flujo formal de tickets a TI.
- Notifica a TI al cambiar de rol para ajustar tus permisos.
- No compartas tu usuario o contraseña con colegas, ni "por un momentico".
- No uses cuentas genéricas o compartidas para operaciones con datos de clientes.
- No accedas a sistemas con credenciales de otra persona, aunque te autorice.