Evidencia concreta del compromiso de 23people con la seguridad de la información, protección de datos personales y responsabilidad ambiental.
ISO/IEC 27001:2022
Estándar internacional
Vigente hasta 24 Mar 2029
Certificación activa
Certificado por QCC
Organismo acreditado
ISO/IEC 27001:2022 es el estándar internacional más reconocido para la gestión de la seguridad de la información. Publicado por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), establece los requisitos para implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información (SGSI).
Para los clientes de 23people, contar con un partner certificado en ISO 27001 significa que la empresa ha sido auditada por un organismo independiente y acreditado —Quality Control Certification (QCC)— y que cumple con más de 90 controles de seguridad organizados en los dominios del Anexo A de la norma. Esto no es una autodeclaración: es una verificación externa y periódica de que nuestros procesos, tecnología y personas operan bajo un marco de seguridad robusto.
Estar certificados implica que 23people gestiona proactivamente los riesgos de seguridad de la información en todos sus servicios: desde el desarrollo de software hasta la consultoría tecnológica y la operación de plataformas. Para nuestros clientes, esto se traduce en confianza verificable, reducción de riesgos en la cadena de suministro, cumplimiento con requisitos regulatorios y contractuales, y la garantía de que la seguridad es un compromiso institucional, no una iniciativa aislada.
Gestión de identidades, autenticación multifactor, privilegios mínimos y revisiones periódicas de accesos.
Cifrado en reposo y en tránsito, gestión de claves criptográficas y políticas de uso de algoritmos seguros.
Centros de datos con certificación, controles de acceso físico, monitoreo ambiental y protección perimetral.
Gestión de cambios, protección contra malware, copias de seguridad y procedimientos de recuperación.
Redes segmentadas, firewalls de próxima generación, VPNs y monitoreo continuo de tráfico.
SDLC seguro, revisiones de código, pruebas de seguridad automatizadas y gestión de vulnerabilidades.
Due diligence de seguridad, acuerdos de nivel de seguridad (SLA) y monitoreo continuo de terceros.
Plan de respuesta a incidentes, notificación oportuna y lecciones aprendidas para mejora continua.
Definición de políticas de seguridad, establecimiento de objetivos del SGSI, evaluación de riesgos y selección de controles adecuados al contexto de la organización.
Despliegue de los controles de seguridad seleccionados, formación y concientización del personal, y operación diaria del sistema de gestión.
Auditorías internas periódicas, monitoreo de indicadores de desempeño, medición de la eficacia de los controles y revisión del cumplimiento.
Implementación de acciones correctivas y preventivas, mejora continua del SGSI y revisión por la dirección para asegurar la alineación estratégica.
| Iniciativa | Estado | Fecha estimada |
|---|---|---|
| Certificación ISO/IEC 27001:2022 | ✅ Completado | Mar 2026 |
| Auditoría de seguimiento 1 | 🔄 En curso | Sep 2026 |
| Programa de concientización en seguridad | 🔄 En curso | Dic 2026 |
| Certificación ISO/IEC 27701 (Privacidad) | 📋 Próximo | Jun 2027 |
| Pentesting externo anual | 📋 Próximo | Dic 2026 |
Puedes descargar una copia digital del certificado directamente desde esta página, en la sección de Seguridad ISO 27001, donde encontrarás el PDF disponible. Si requieres una copia oficial adicional o verificada, puedes escribirnos a seguridad@23people.io y te la enviaremos.
La certificación cubre el Sistema de Gestión de Seguridad de la Información (SGSI) de 23people SpA, incluyendo todos los servicios de desarrollo de software, consultoría tecnológica y operación de plataformas que la empresa entrega a sus clientes. El alcance abarca los procesos de diseño, desarrollo, implementación, operación y soporte, así como la gestión del talento técnico asociado. El certificado detalla el alcance exacto y está disponible para descarga y verificación externa en esta misma página.
La certificación ISO 27001 tiene una vigencia de tres años. Durante ese período, se realizan auditorías de seguimiento anuales (vigilancia) para verificar que el sistema de gestión se mantiene conforme a los requisitos de la norma. Al finalizar el ciclo de tres años, se realiza una auditoría de recertificación completa. Esto asegura que 23people no solo obtuvo la certificación, sino que mantiene y mejora continuamente su SGSI.
Si detectas una vulnerabilidad de seguridad o deseas reportar un incidente, puedes escribirnos directamente a seguridad@23people.io. Nuestro equipo de seguridad revisa estos reportes con prioridad y mantiene comunicación con quien reporta a lo largo del proceso de investigación y remediación. Nos comprometemos a acusar recibo en un plazo máximo de 48 horas hábiles y mantenerte informado sobre el avance de la resolución.
La seguridad al trabajar con talento externo es parte integral de nuestro SGSI y está cubierta por nuestro proceso de Gestión de Proveedores. Realizamos due diligence de seguridad antes de incorporar cualquier colaborador externo, exigimos NDAs y acuerdos de confidencialidad, verificamos antecedentes cuando es aplicable, y todo el personal —interno y externo— recibe formación obligatoria en seguridad de la información. Además, el acceso a nuestros sistemas y a los de nuestros clientes se rige por el principio de privilegios mínimos y se revisa periódicamente.
Si sospechas una brecha de seguridad que involucre a 23people o a alguno de sus servicios, debes notificarlo de inmediato a través de seguridad@23people.io. En tu mensaje, incluye toda la información que puedas proporcionar: descripción del incidente, fecha y hora aproximada, servicios o sistemas afectados, y cualquier evidencia disponible. Activarás así nuestro Procedimiento de Gestión de Incidentes, que contempla contención, investigación, notificación a afectados cuando corresponda y acciones correctivas. No investigues por tu cuenta — es preferible preservar la evidencia y dejar que nuestro equipo especializado realice el análisis forense.
Para cualquier consulta relacionada con seguridad de la información o nuestra certificación ISO/IEC 27001:2022, puedes contactarnos a través de los siguientes canales:
Seguridad: seguridad@23people.io
Consultas generales: trust@23people.io
Nos comprometemos a responder en un plazo máximo de 48 horas hábiles.
La Ley N° 21.719 de Protección de Datos Personales, publicada el 13 de diciembre de 2024, es la nueva normativa chilena que moderniza el marco regulatorio de privacidad y tratamiento de datos personales en Chile. Esta ley tiene plena vigencia y fiscalización a partir de diciembre de 2026, y es fiscalizada por la nueva Agencia de Protección de Datos Personales, organismo técnico encargado de velar por el cumplimiento y aplicar sanciones.
El incumplimiento de la Ley 21.719 puede conllevar multas de hasta 20.000 UTM (aproximadamente $1.300 millones de pesos chilenos a valor 2026) o hasta el 4% de los ingresos anuales de la empresa, lo que resulte mayor. Además, la autoridad puede ordenar la suspensión temporal de operaciones de tratamiento de datos e imponer medidas correctivas obligatorias.
| Iniciativa | Estado | Fecha |
|---|---|---|
| Designación de Delegado de Protección de Datos | ✅ Completado | Ene 2026 |
| Inventario de datos personales | ✅ Completado | Feb 2026 |
| Política de Privacidad actualizada | ✅ Completado | Mar 2026 |
| Procedimientos de derechos ARCO | 🔄 En curso | Jun 2026 |
| Evaluación de impacto (DPIA) | 🔄 En curso | Sep 2026 |
| Acuerdos de encargado de tratamiento | 📋 Próximo | Oct 2026 |
| Adecuación completa a Ley 21.719 | 📋 Próximo | Dic 2026 |
ARCO Legal es la plataforma SaaS desarrollada por 23people que automatiza el cumplimiento con la Ley N° 21.719. Diseñada para empresas chilenas que necesitan adecuarse a la nueva normativa de protección de datos personales sin complejidad legal ni técnica.
23people ha adoptado formalmente los Science Based Targets (SBTi), la iniciativa global que valida que los objetivos de reducción de emisiones de una empresa estén alineados con la ciencia climática y el Acuerdo de París —limitar el calentamiento global a 1.5°C sobre niveles preindustriales—.
Nuestros objetivos de reducción de emisiones de gases de efecto invernadero (GEI), basados en ciencia y en proceso de validación por SBTi, son:
Como empresa 100% digital y remota, nuestra huella operativa directa es inherentemente baja en comparación con industrias tradicionales. No obstante, somos conscientes del impacto de nuestros servicios en la nube y la infraestructura tecnológica, y trabajamos con proveedores cloud que cuentan con certificaciones de energía renovable y eficiencia energética. Nuestro compromiso SBTi es público, medible y auditado.
| Iniciativa | Estado | Fecha |
|---|---|---|
| Adopción de compromiso SBTi | ✅ Completado | Ene 2025 |
| Definición de política ambiental | ✅ Completado | Jun 2025 |
| Medición de huella de carbono (GHG Protocol) | 🔄 En curso | Dic 2026 |
| Estrategia de reducción de emisiones | 📋 Próximo | Jun 2027 |
| Compensación de carbono | 📋 Próximo | Dic 2027 |
| Reporte de sostenibilidad | 📋 Próximo | Mar 2027 |
La gobernanza de sostenibilidad en 23people está estructurada para asegurar que el compromiso ambiental sea transversal a toda la organización, con responsabilidades claras y rendición de cuentas periódica.
Responsable de la estrategia ambiental corporativa, reporta directamente a la dirección ejecutiva. Define objetivos, supervisa la medición de huella y representa a 23people ante SBTi y otros foros de sostenibilidad.
Un representante por equipo (ingeniería, diseño, operaciones, talento) que promueve prácticas sostenibles en el día a día, lidera iniciativas locales de reducción de impacto y reporta al Sustainability Leader.
Enfocado en la eficiencia energética de nuestra infraestructura tecnológica, optimización de cargas en la nube, selección de proveedores con criterios de sostenibilidad y medición del Alcance 3 tecnológico.
Reuniones mensuales del comité de sostenibilidad, medición anual de huella de carbono bajo GHG Protocol, y reporte transparente de avances a todos los grupos de interés.
Los Science Based Targets (SBTi) son objetivos de reducción de emisiones de gases de efecto invernadero alineados con lo que la ciencia climática más reciente considera necesario para limitar el calentamiento global a 1.5°C. La iniciativa SBTi es una colaboración entre CDP, Pacto Mundial de las Naciones Unidas, WRI y WWF. Las empresas que adoptan SBTi se comprometen públicamente a metas de reducción cuantificables, verificables y con plazos definidos, demostrando un compromiso climático real y no meramente declarativo.
Utilizamos la metodología del GHG Protocol (Greenhouse Gas Protocol), el estándar internacional más utilizado para la contabilidad de emisiones. Esto incluye la medición de los tres alcances: Alcance 1 (emisiones directas de fuentes propias), Alcance 2 (emisiones indirectas por consumo de electricidad) y Alcance 3 (emisiones de la cadena de valor, incluyendo proveedores cloud, viajes y desplazamientos del equipo). La medición se realiza anualmente y los resultados serán publicados en nuestro reporte de sostenibilidad.
Nuestro objetivo es alcanzar la carbono neutralidad (net-zero) para el año 2040, cubriendo los tres alcances de emisiones. Este es un objetivo de largo plazo que requiere transformaciones progresivas en nuestra cadena de valor, la adopción de tecnologías más eficientes y la compensación de emisiones residuales. Como hitos intermedios, hemos establecido una reducción del 50% en emisiones Alcance 1+2 para 2030 y del 30% en Alcance 3 para el mismo año.