Propósito
El propósito de esta política es establecer un marco estratégico y normativo para el uso aceptable de los activos tecnológicos e informáticos de Seacrets, asegurando su protección frente a usos indebidos, accesos no autorizados, negligencias operativas y amenazas tanto internas como externas, sean intencionales o accidentales.
Esta política contribuye a preservar la confidencialidad, integridad y disponibilidad (C-I-D) de la información y sistemas críticos mediante la aplicación de prácticas responsables por parte de todos los usuarios autorizados.
La política forma parte del Sistema de Gestión de Seguridad de la Información (SGSI) de Seacrets y se encuentra alineada con:
- La norma internacional ISO/IEC 27001:2022, como base para el diseño del SGSI;
- Los controles técnicos y organizativos definidos en ISO/IEC 27002:2022;
- El marco de gestión de riesgos del NIST Cybersecurity Framework (CSF), con enfoque en identificación, protección, detección, respuesta y recuperación.
Asimismo, complementa otras políticas corporativas.
Alcance
Esta política de uso aceptable es de aplicación obligatoria para todas las personas que acceden, utilizan o administran los activos tecnológicos y entornos digitales operados por Seacrets, sin importar su vínculo contractual o modalidad de acceso.
Quedan expresamente comprendidos:
Usuarios externos:Incluye Creadores de contenido, Fans, afiliados, anunciantes, partners comerciales y cualquier tercero que acceda a los sistemas mediante interfaz web, aplicación móvil, API u otros mecanismos autorizados.
Colaboradores internos y externos:Comprende a empleados, contratistas, moderadores de contenido, proveedores de servicios (p. ej., verificación de identidad, hosting, pagos), personal de atención al cliente, y consultores con acceso a sistemas o información de Seacrets.
Sistemas, canales y activos cubiertos:La política aplica a todo uso, interacción o administración de:
- Plataforma web, aplicaciones móviles, backoffice y API REST;
- Infraestructura en la nube (IaaS, PaaS, SaaS), sistemas de pago, bases de datos y herramientas de analítica;
- Equipos y redes corporativas, canales de soporte, dashboards de administración y dispositivos BYOD autorizados.
Esta política es exigible tanto dentro como fuera del entorno físico de Seacrets, incluyendo teletrabajo, acceso remoto y uso desde dispositivos propios o compartidos.
Principios rectores
La presente política se rige por los siguientes principios fundamentales, que deben ser respetados por todos los usuarios y colaboradores en su interacción con los sistemas, datos y plataformas digitales de Seacrets:
| Nº | Principio | Descripción operativa |
|---|---|---|
| 1 | Legalidad | Queda expresamente prohibido cualquier uso de los activos tecnológicos que violen leyes locales, federales o internacionales, incluyendo pero no limitado a normativa penal, de propiedad intelectual, protección infantil, protección de datos, telecomunicaciones, AML/CFT o derechos humanos. |
| 2 | Respeto y consentimiento | Seacrets aplica tolerancia cero a conductas que impliquen: distribución de contenido sexual no consensuado (CNC), explotación infantil (CSAM), deepfakes sexuales, trata de personas, grooming o coerción sexual. Cualquier indicio será bloqueado y reportado. |
| 3 | Confidencialidad | Los usuarios y colaboradores deben proteger los datos personales, financieros o sensibles a los que accedan, conforme a la Política de Privacidad, la Política de Clasificación de Datos y el marco normativo aplicable (RGPD, LGPD, CPRA, Ley 787). |
| 4 | Seguridad | El uso de la plataforma implica aceptación de controles de seguridad como autenticación multifactor (MFA), cifrado de datos, y monitoreo activo. Está estrictamente prohibido: – cargar o distribuir malware, – manipular scripts, – evadir firewalls o realizar ataques a los sistemas. |
| 5 | Transparencia y trazabilidad | Toda actividad queda registrada y sujeta a auditoría para dar cumplimiento a: – las obligaciones de monitoreo bajo políticas AML/CFT y FATF, – los requisitos de pasarelas de pago (VDMP, ECP, Mastercard BRAM), y – la normativa de trazabilidad y reporte del Digital Services Act (DSA–UE). |
Contenido y actividades prohibidas
Todo usuario de los activos tecnológicos, plataformas o sistemas de Seacrets —incluyendo colaboradores, afiliados y usuarios externos— debe abstenerse de realizar, facilitar o permitir cualquier tipo de actividad que:
- Vulnere la ley,
- Atente contra derechos fundamentales,
Conductas expresamente prohibidas:
- “Revenge porn”, deep fakes sexuales sin consentimiento, grabaciones sin autorización explícita.
Incitación al odio, violencia o discriminaciónSe prohíbe la difusión de contenido o mensajes que promuevan odio o violencia por motivos de:
- Raza o etnicidad,
- Religión o creencias,
- Condición migratoria, discapacidad u otros atributos protegidos.
Financiamiento de actividades ilícitasIncluye el uso de la plataforma o sus canales de pago para:
- Lavado de activos (LA),
- Financiamiento del terrorismo (FT),
- Manejo irregular de criptomonedas,
- Transacciones desde/hacia jurisdicciones sancionadas por OFAC, ONU o la UE.
Fraude financiero y suplantación de identidad
- Declaraciones falsas o contradictorias para eludir controles KYC/AML.
Spam, manipulación o engaño al consumidor
- Envío masivo no solicitado (violación de CAN-SPAM, TCPA).
- Prácticas engañosas o abusivas que infringen las normas UDAAP del CFPB.
- Publicidad encubierta, testimonios falsos o manipulación de métricas de rendimiento.
Infracción de derechos de propiedad intelectual (PI)
- Carga o distribución de contenido sin los derechos, licencias o cesiones correspondientes.
- Violación de marcas, derechos de imagen, contratos de exclusividad o acuerdos de distribución.
Interferencia técnica, manipulación o ataques al sistema
- Intentos de acceder a sistemas o información sin autorización (intrusión).
- DDoS, sniffing de tráfico, port scanning, spoofing, uso de bots maliciosos.
- Introducción intencional de malware, exploits, shell inversos u otras amenazas.
Uso aceptable para Usuarios
Toda actividad realizada por Usuarios Externos (Creadores, Fans, Afiliados, Anunciantes) debe regirse por los siguientes criterios de legalidad, consentimiento, trazabilidad y respeto. Esta tabla establece lo que se permite, lo que se requiere y lo que queda expresamente prohibido por categoría funcional:
| Categoría | ✅ Se permite | ✅ Se requiere | ❌ Queda prohibido |
|---|---|---|---|
| Contenido adulto consensuado | Subir, transmitir y monetizar contenido explícito, siempre que todos los participantes sean adultos legalmente competentes. | – Verificación de identidad (KYC) – Evidencia de consentimiento firmado digitalmente –Revisión previa a publicación (moderación + IA) | – Representaciones de menores reales o simuladas – Coacción, violencia no simulada, contenido no consensuado – Bestialismo, necrofilia, incesto, deepfakes sin permiso |
| Pagos y retiros | Recibir ingresos por suscripciones, pago por ver, propinas o comisiones. | – KYC/AML completo – Cumplimiento fiscal según jurisdicción | – Estructuración de pagos para evadir límites – Uso de tarjetas robadas, cuentas mule o cuentas falsas – Cuentas compartidas o prestadas |
| Comunicaciones | Interactuar vía mensajería privada, foros, secciones de comentarios y transmisiones en vivo. | – Lenguaje no ofensivo – Respeto a otros participantes – Uso correcto del botón “Reportar” para denunciar abusos | – Acoso, amenazas, discursos de odio – Doxing, extorsión sexual o chantaje – Envío masivo no solicitado (SPAM) o manipulación de tráfico |
Toda acción en la plataforma genera trazabilidad técnica (logs, IP, timestamp, hash de contenido) y puede ser auditada en cumplimiento del Digital Services Act (UE), de la Patriot Act (EE.UU.), de los requisitos de pasarelas de pago internacionales, y de nuestras políticas internas de protección y moderación.
Uso aceptable para Empleados y Contratistas
El personal de Seacrets —incluyendo empleados, consultores, contratistas, moderadores, personal externo de soporte y proveedores técnicos— debe cumplir estrictamente con las siguientes normas de uso de sistemas y recursos tecnológicos, como condición esencial de confianza, integridad profesional y cumplimiento normativo.
Buenas prácticas obligatorias
Accesos personales y controlados
- Se debe acceder únicamente con credenciales individuales, asignadas por el área de TI o IAM.
- Está estrictamente prohibido compartir contraseñas, tokens físicos, códigos OTP o sesiones con otras personas, aun si son del mismo equipo.
Seguridad de dispositivos
- Todo dispositivo usado para acceder a sistemas corporativos (laptop, smartphone, tablet) debe:
- Tener el disco duro cifrado (BitLocker, FileVault, equivalente MDM).
- Activar bloqueo automático tras de inactividad.
- Contar con antivirus actualizado y software de gestión de parches.
Instalación y uso de software
- Únicamente se permite instalar programas y extensiones previamente aprobados y documentados por el equipo de TI o Seguridad.
- Se prohíbe el uso de software pirata, licencias crackeadas, emuladores, proxies no autorizados, o cualquier herramienta que eluda controles de seguridad.
Conducta digital y redes sociales
- Toda expresión personal en redes sociales debe mantenerse claramente desvinculada de la identidad corporativa.
- Está prohibido:
- Publicar o reenviar información confidencial de usuarios, sistemas o socios.
- Compartir contenido sensible capturado desde los sistemas internos (pantallazos, nombres de clientes, métricas, etc.).
Supervisión activa:Todas las actividades digitales del personal pueden ser registradas y auditadas en cumplimiento con la Política de Seguridad de la Información, la Política de Privacidad, y los principios de proporcionalidad, necesidad y transparencia. Las infracciones se remiten directamente al Comité de Cumplimiento y pueden acarrear sanciones contractuales, disciplinarias o legales.
Protección de datos y privacidad
Todo usuario, colaborador o proveedor con acceso a sistemas, contenidos o registros de Seacrets deberá manejar la información conforme a los principios y controles establecidos en:
- La Política de Privacidad,
- Y el sistema de clasificación de la información basado en ISO/IEC 27001 e ISO/IEC 27701.
Reglas específicas de tratamiento
- Los datos personales, financieros o sensibles —incluyendo imágenes, identidades biométricas, tokens de pago, historiales de interacción, KYC, metadatos y datos de geolocalización— deben ser clasificados al menos como CONFIDENCIAL (CONF).
- Cuando contengan PII sensible (e.g. orientación sexual, identidad de género, historial de pagos explícitos o comunicaciones íntimas) o involucren datos financieros sujetos a PCI DSS, deberán ser etiquetados como ALTAMENTE CONFIDENCIALES (HCONF).
- Toda transferencia, descarga, visualización o uso de esta información:
- Y debe realizarse a través de canales seguros (e.g. HTTPS, VPN, herramientas corporativas con cifrado TLS/AES-256).
Está prohibido:
- Exportar o descargar información sin justificación funcional validada por Compliance o Legal.
Mecanismos de monitoreo y moderación
Seacrets emplea un enfoque multicapa de supervisión para detectar, prevenir y escalar cualquier contenido o actividad que infrinja las políticas internas, regulaciones internacionales o los estándares de la industria. Esta arquitectura combina inteligencia artificial, revisión humana y control de calidad independiente.
| Capa | Herramienta / Proceso | Cobertura | SLA / Métrica Operativa |
|---|---|---|---|
| Automática | Algoritmos de IA para detección de CSAM, hash-matching con PhotoDNA, reglas AML/CFT y antispam. | 100 % de cargas, transmisiones, mensajes y transacciones. | Detección inicial en < 5 minutos desde la publicación o evento. |
| Humana | Revisión activa 24/7 por el equipo de Trust & Safety, incluyendo análisis de contexto, apelaciones y moderación manual reforzada. | Contenido reportado o clasificado como crítico por IA, usuarios o sistema de reglas. | Tiempo de revisión ≤ 12 h desde alerta prioritaria. |
| Auditoría (QA) | Muestreo aleatorio supervisado por Compliance y auditoría interna sobre al menos el 5 % del contenido moderado. | Evaluación de calidad de la moderación, sesgos, y falsos negativos. | Tasa de Falsos Negativos (FNR) ≤ 0,3 %. |
Procedimiento de reporte y respuesta
Canal de recepción de reportes
Los reportes pueden realizarse de forma gratuita mediante:
- El botón “Reportar” integrado en perfiles, contenidos, transmisiones en vivo o chats.
- Correo electrónico: [email protected]
Proceso operativo
| Paso | Acción |
|---|---|
| 1. Recepción | El sistema o el equipo de soporte recibe el reporte y asigna un ID único para trazabilidad. |
| 2. Clasificación por riesgo | 🔴 Crítico: potencial presencia de CSAM, menores, contenido no consensuado, amenazas creíbles o ML/CFT. 🟠 Medio: spam, o suplantación. 🟢 Bajo: disputas entre usuarios, contenido cuestionable o lenguaje abusivo. |
| 3. Acción temporal | Si el incidente es clasificado como rojo, se aplica bloqueo preventivo de contenido y/o cuenta en un plazo máximo de 2 horas. |
| 4. Investigación | El caso se asigna a los equipos correspondientes:– Trust & Safety: revisión operativa.– MLRO y Legal: si el caso implica indicios de lavado de activos (LA/FT), órdenes judiciales, PEPs o incidentes transfronterizos. |
| 5. Notificación de resolución | El denunciante recibe un correo o mensaje de seguimiento en un plazo , indicando:– Medida adoptada,– Posible escalamiento,– Derecho a apelación (si aplica). |
Todos los reportes se almacenan de forma cifrada durante un mínimo de 12 meses conforme al principio de retención proporcional y bajo control del equipo de cumplimiento.
Gobernanza y RACI
La Política de Uso Aceptable forma parte del marco integral de cumplimiento, seguridad y ética digital de Seacrets. Su correcta implementación, mantenimiento y supervisión se estructura a través de funciones diferenciadas, responsabilidades asignadas y controles independientes de auditoría.
A continuación, se presenta la matriz RACI (Responsible, Accountable, Consulted, Informed) para las funciones críticas:
| Función / Actividad | Política de Uso Aceptable | Moderación de contenido | Gestión de incidentes | Formación y concienciación | Revisión anual / mejora |
|---|---|---|---|---|---|
| Consejo de Administración | A/R | I | I | I | A/R |
| CISO / CTO | C | A/R (sistemas y herramientas) | C | C | C |
| Trust & Safety | R | A | C | A | C |
| MLRO (Oficial de Reporte AML) | C | C | A/R (AML/FT) | C | C |
| Compliance Operations | A | C | C | R | A |
| Auditoría Interna | I | I | R (pruebas y validación) | I | A |
Leyenda:
A: Accountable – Responsable último de la toma de decisiones.
R: Responsible – Ejecuta las acciones asignadas.
C: Consulted – Participa con criterio especializado.
I: Informed – Debe ser informado sobre el avance o resultado.
Esta estructura garantiza el principio de separación de funciones críticas (SoD), fomenta la rendición de cuentas, y habilita el cumplimiento ante auditores externos, adquirentes de pago y autoridades regulatorias.
Formación y concienciación
La formación continua es un componente esencial para asegurar el cumplimiento sostenido de esta política. Seacrets aplica un enfoque preventivo y adaptado a roles críticos, asegurando que cada grupo de interés conozca sus obligaciones, los riesgos inherentes y las consecuencias de incumplir las normas de uso aceptable.
| Programa / Módulo | Público objetivo | Frecuencia | KPI / Meta de desempeño |
|---|---|---|---|
| Inducción: Política de Uso Aceptable (2 h) | Todo el personal (empleados, contratistas, moderadores) | En el proceso de onboarding (día 1–5) | ≥ 95 % de participantes aprueban con nota mínima definida. |
| Simulacro de detección de CSAM y respuesta inmediata | Equipo Trust & Safety | Onboarding | MTTR (Mean Time to Respond) < 1 hora en eventos críticos. |
Todos los registros de asistencia, resultados de evaluación y acciones correctivas se documentan en el sistema de cumplimiento y forman parte del expediente personal. El incumplimiento reiterado o la no participación en las capacitaciones obligatorias puede derivar en suspensión temporal de accesos o sanciones contractuales.
Cumplimiento y sanciones
El incumplimiento de esta Política de Uso Aceptable activa medidas correctivas, disciplinarias o legales proporcionales a la gravedad de la conducta, al impacto potencial o real, y al perfil del infractor (usuario, colaborador o proveedor).
Medidas aplicables a Usuarios (Creadores, Fans, Afiliados)
Seacrets podrá imponer medidas progresivas o inmediatas ante violaciones confirmadas o indicios razonables, incluyendo:
Advertencia formal o solicitud de corrección.
Desmonetización temporal o permanente del contenido o canal.
Suspensión de cuenta hasta resolver la investigación.
Terminación definitiva del acceso a la plataforma, sin reembolso.
Reporte a autoridades competentes (LEA) en casos de:
- Presunta explotación de menores (CSAM),
- Delitos financieros (LA/FT),
- Amenazas creíbles, trata de personas u otros ilícitos.
Medidas internas para empleados y contratistas
Violaciones graves o reiteradas por parte de personal con acceso a sistemas o datos de Seacrets conllevan:
Amonestación escrita y plan de acción correctiva.
Suspensión temporal de accesos o funciones críticas.
Terminación contractual inmediata, especialmente en casos de:
- Divulgación no autorizada de información confidencial,
- Complicidad en prácticas de encubrimiento, sabotaje o evasión de controles,
- Simulación o suplantación de identidad institucional.
Penalidades para proveedores, aliados o terceros
Los contratos suscritos con proveedores de servicios, herramientas tecnológicas, procesamiento de pagos o verificación de identidad contemplan cláusulas de cumplimiento vinculante. Ante incumplimientos:
- Se activarán penalidades económicas, suspensiones de servicio o cancelación del contrato.
- Se notificará a otros actores relevantes (redes de pago, adquirentes, partners) cuando aplique.
- Se podrá ejercer acción legal por daños derivados de conductas dolosas, negligentes o encubrimiento de terceros infractores.
Todas las sanciones se documentan y se registran en el sistema de cumplimiento. El Comité de Cumplimiento y el área Legal supervisan su ejecución conforme a principios de legalidad, equidad y trazabilidad.
Revisión y mejora continua
La presente Política de Uso Aceptable forma parte del marco de cumplimiento normativo y seguridad digital de Seacrets, y está sujeta a revisiones periódicas para asegurar su vigencia, eficacia y alineación con los riesgos emergentes y el entorno regulatorio aplicable.
Frecuencia de revisión
La política será revisada como mínimo una vez cada 12 meses o antes si ocurre cualquiera de las siguientes circunstancias:
Cambios regulatorios relevantes, como:
- Entrada en vigor o reforma del Digital Services Act (UE),
6.ª Directiva AML de la UE (EU 2018/1673),
- Reformas en COPPA (EE. UU.), Ley 787 (NI) u otras normas sectoriales.
Evolución funcional de la plataforma, que introduzca nuevos vectores de riesgo o exposición tecnológica, tales como:
- Funcionalidades de streaming 4K interactivo,
- Mecanismos de monetización automatizada,
- Expansión a nuevas jurisdicciones de riesgo alto.
Eventos de riesgo operativo o incumplimiento, como:
- Brechas de seguridad asociadas a mal uso de sistemas,
- Aumento de la tasa de violaciones de uso aceptable superior al 0,5 % mensual,
- Hallazgos relevantes en auditoría interna o externa.
Procedimiento de actualización
- La revisión será liderada por el área de Compliance, en conjunto con el CISO y Trust & Safety.
- Toda modificación deberá ser:
- Aprobada por el Consejo de Administración,
- Comunicada a los usuarios, empleados y terceros relevantes con una antelación mínima de 15 días naturales antes de su entrada en vigor.
- Se mantendrá un historial de versiones y motivos de cambio, disponible para auditoría y fines regulatorios.
Historial de versiones
| Versión | Descripción | Fecha | Aprobó |
|---|---|---|---|
| 0.9 – Borrador | Circulación interna | 01-01-2025 | Oficina Legal |
| 1.0 Revisión | Publicación inicial | 10-15-2025 | Consejo de Administración |