Protocolo 01

Contraseñas y accesos

Tus credenciales son la llave maestra de los sistemas de LarimarPay. Este protocolo define, con reglas de cumplimiento obligatorio (prefijo CA), cómo crearlas, protegerlas y usarlas para que solo tú puedas abrir esa puerta.

CA-01

Creación de contraseñas

Toda contraseña corporativa debe ser resistente a ataques de fuerza bruta y de diccionario. El colaborador debe cumplir las siguientes reglas al crear y almacenar sus credenciales:

✓ Haz esto
  • Usa mínimo 12 caracteres combinando mayúsculas, minúsculas, números y símbolos.
  • Prefiere frases de contraseña: tres o más palabras sin relación (ej. "nube!Cacao7velero").
  • Usa una contraseña diferente para cada sistema.
  • Guarda tus credenciales solo en el gestor de contraseñas autorizado.
✕ Nunca hagas esto
  • No uses datos personales: cédula, fecha de nacimiento, nombres de familiares.
  • No reutilices contraseñas personales en sistemas de la empresa.
  • No las anotes en papel, notas del celular ni archivos sin cifrar.
  • No uses patrones de teclado como "Qwerty123!".
CA-02

Autenticación multifactor (MFA)

La contraseña sola no basta. El segundo factor detiene la gran mayoría de los accesos no autorizados. Su uso es obligatorio en correo y en la plataforma e-CF.

✓ Haz esto
  • Activa MFA en todos los sistemas que lo permitan.
  • Usa la app de autenticación corporativa como segundo factor.
  • Reporta de inmediato solicitudes MFA que tú no iniciaste.
✕ Nunca hagas esto
  • No apruebes notificaciones MFA que no solicitaste ("fatiga de MFA" es una táctica de ataque).
  • No compartas códigos de verificación con nadie, ni siquiera con "soporte técnico".
  • No uses SMS como segundo factor si hay una opción de app disponible.
CA-03

Gestión y ciclo de vida de accesos

Cada acceso es personal, intransferible y auditable. Se otorga por rol bajo el principio de mínimo privilegio, se revisa al cambiar de función y se revoca de inmediato al salir de la empresa.

✓ Haz esto
  • Bloquea tu sesión (Win+L / Ctrl+Cmd+Q) cada vez que te levantes del puesto.
  • Rota tus contraseñas críticas cada 90 días o ante cualquier sospecha.
  • Solicita accesos únicamente por el flujo formal de tickets a TI.
  • Notifica a TI al cambiar de rol para ajustar tus permisos.
✕ Nunca hagas esto
  • No compartas tu usuario o contraseña con colegas, ni "por un momentico".
  • No uses cuentas genéricas o compartidas para operaciones con datos de clientes.
  • No accedas a sistemas con credenciales de otra persona, aunque te autorice.