Ley 21.719: cómo HaddaCloud protege tus datos con cifrado AES-256
La nueva ley de protección de datos personales en Chile exige medidas de seguridad técnicas. El CRM HaddaCloud ya implementa cifrado en reposo con AES-256 sobre sus bases de datos analíticas y operacionales, protegiendo cada campaña de cobranza, ventas y atención.
¿Qué exige la Ley 21.719?
La Ley 21.719, conocida como la nueva Ley Marco de Protección de Datos Personales en Chile, entra en vigencia el 1 de diciembre de 2026. Su artículo 14 ter establece de forma explícita el deber de seguridad del responsable de datos:
"El responsable deberá adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales..." — Art. 14 ter, Ley 21.719
Esto incluye, entre otras obligaciones:
- Cifrado en reposo: los datos almacenados deben estar protegidos mediante mecanismos criptográficos que impidan su lectura en caso de acceso no autorizado al soporte físico.
- Gestión de accesos: controles sobre quién puede leer, modificar o eliminar datos personales.
- Notificación de brechas: obligación de reportar incidentes de seguridad a la autoridad y a los titulares.
- Evaluación de impacto: análisis previo para tratamientos de alto riesgo.
Para una operación de cobranza y contact center que gestiona millones de interacciones al mes, el cifrado en reposo es la base técnica sobre la que se sostiene todo el sistema de seguridad. Sin cifrado a nivel de almacenamiento, un acceso físico al servidor —por más control de acceso perimetral que exista— expondría la totalidad de los datos personales de deudores, pacientes o clientes.
Dato clave: La ley no prescribe un algoritmo específico, pero establece que las medidas deben ser "proporcionales al riesgo". AES-256 es el estándar internacional de referencia (NIST FIPS 197, ISO/IEC 18033-3) y la opción técnica más adoptada por su equilibrio entre seguridad y rendimiento.
Cifrado AES-256-CTR en ClickHouse
El motor analítico de HaddaCloud, ClickHouse, almacena datos críticos para las campañas de cobranza: enriquecimiento de teléfonos, históricos de contactabilidad, rankings de gestión, grabaciones y CDRs. Son cientos de gigabytes de datos personales que alimentan los algoritmos de scoring predictivo y los reportes de recupero.
El cifrado se implementa a nivel de disco nativo del motor (Encrypted Disk). Esto significa que todos los archivos de datos —archivos .bin, .mrk3, .idx— se almacenan cifrados en el sistema de archivos del servidor. El algoritmo utilizado es AES-256-CTR (Advanced Encryption Standard en modo Counter), gestionado mediante una clave simétrica de 256 bits controlada exclusivamente por el proceso de base de datos.
Las principales bases cubiertas incluyen las de enriquecimiento de contactos, datos de gestión de carteras, y registros de analytics de voz. El volumen total protegido supera los 500 GB de datos personales de deudores, incluyendo números de teléfono, historiales de gestión y registros de contactabilidad.
¿Qué significa esto para una campaña de cobranza? Que cada vez que el sistema scoring asigna una prioridad a un número de teléfono, cada vez que un gestor consulta el historial de un deudor, y cada vez que un reporte de recupero consolida miles de gestiones, los datos viajan y se almacenan cifrados. Incluso si alguien obtuviera acceso físico al disco, los datos serían ilegibles sin la clave de cifrado.
Más sobre la plataforma en nuestra arquitectura.
Cifrado AES-256-XTS en MongoDB
El CRM operacional de HaddaCloud —donde se ejecutan en tiempo real las campañas de cobranza, ventas y atención— corre sobre MongoDB en configuración de ReplicaSet. Aquí se almacenan los datos transaccionales: números de teléfono de deudores, gestión de casos, árboles de decisión de cobranza, sesiones del asistente de voz y flujos de chatbot.
Para MongoDB, el cifrado se implementa a nivel de bloque del sistema operativo mediante LUKS2 (Linux Unified Key Setup v2) con algoritmo AES-256-XTS. Este mecanismo opera por debajo del motor de base de datos: la partición completa donde MongoDB almacena sus archivos WiredTiger está cifrada con dm-crypt, y el descifrado ocurre de forma transparente en el momento en que el sistema operativo lee los bloques.
La clave de cifrado se almacena en un archivo protegido con permisos restrictivos (solo root), referenciado en la configuración de montaje del sistema para que el arranque sea automático sin intervención manual. El cifrado aplica a todos los nodos del ReplicaSet, de modo que no hay punto ciego en la replicación.
Diferencia clave: Mientras ClickHouse usa cifrado a nivel de motor (conoce sus propios archivos), MongoDB usa cifrado a nivel de bloque (el sistema operativo cifra todo el volumen). Ambos son equivalentes en seguridad, pero operan en capas distintas. La combinación de ambos cubre el 100% de los datos personales en reposo.
Esto impacta directamente en campañas de gestión de ventas y cobranza: cada vez que un agente humano o un agente de voz IA consulta o registra una gestión, los datos viajan cifrados en reposo, y la trazabilidad de cada acción queda protegida.
ISO 27001:2022: el marco de gestión
El cifrado en reposo es una medida técnica. Pero una política de seguridad efectiva requiere también un marco organizativo que la sostenga: políticas, procedimientos, auditorías y mejora continua. Eso es exactamente lo que aporta la certificación ISO 27001:2022.
HaddaCloud by Movatec cuenta con certificación ISO 27001:2022 sobre su sistema de gestión de seguridad de la información. Esto significa que:
- Existe un proceso documentado de evaluación y tratamiento de riesgos.
- Las medidas técnicas como el cifrado responden a una decisión formal basada en riesgo, no a una ocurrencia.
- Se realizan auditorías internas y externas periódicas.
- Existe un plan de mejora continua que actualiza las medidas conforme evolucionan las amenazas.
La combinación de ISO 27001 + cifrado AES-256 permite a HaddaCloud ofrecer a sus clientes de cobranza, ventas y atención una plataforma que cumple con los más altos estándares de seguridad, tanto en la capa técnica como en la organizativa. Puedes revisar nuestra política de seguridad y el sistema de gestión.
Impacto en campañas de cobranza y ventas
Más allá del cumplimiento normativo, el cifrado en reposo tiene efectos concretos en la operación diaria:
| Dimensión | Sin cifrado en reposo | Con AES-256 (HaddaCloud) |
|---|---|---|
| Confianza del cliente | Depende de promesas verbales | Medidas técnicas auditables y documentadas |
| Riesgo de brecha | Acceso físico al server = datos expuestos | Datos ilegibles sin clave de cifrado |
| Cumplimiento Ley 21.719 | No acreditable | Declaración formal Art. 14 ter |
| Auditabilidad | Sin evidencia técnica | Documentación de implementación + ISO 27001 |
| Rendimiento operacional | — | Sin impacto en queries (descifrado transparente) |
Para una operación de cobranza que gestiona datos sensibles de miles de deudores, contar con cifrado en reposo no es solo una obligación legal: es una ventaja competitiva. Los clientes institucionales —bancos, retail, clínicas, universidades— exigen cada vez más que sus datos estén protegidos con medidas técnicas concretas, no solo con cláusulas contractuales. Conoce más en gestión de carteras de cobranza y reportes analytics.
Preguntas frecuentes
¿Qué exige la Ley 21.719 sobre seguridad de datos?
¿Qué algoritmos de cifrado usa HaddaCloud?
¿El cifrado afecta el rendimiento de las campañas?
¿HaddaCloud tiene certificación ISO 27001?
Sigue explorando
