En la primera mitad de 2025, Perú registró 748 millones de intentos de ciberataque, con 92 intentos de ransomware diarios según Kaspersky. No son cifras abstractas: detrás de cada ataque hay un objetivo concreto, y en las empresas medianas ese objetivo casi siempre es el repositorio documental. Ahí residen los expedientes SUNAT, los legajos de RRHH, los contratos con clientes, la documentación SBS — todo en un solo lugar, frecuentemente protegido por controles de acceso que datan de cuando la empresa tenía diez empleados y una sola oficina.
El modelo que resguardaba esos documentos durante años era simple: un firewall en el perímetro, acceso por VPN para el trabajo remoto, y la suposición de que quien estaba “dentro de la red” era de confianza. Ese modelo colapsó cuando el trabajo híbrido se normalizó, cuando los proveedores externos empezaron a requerir acceso al repositorio, y cuando las aplicaciones migraron a la nube. Hoy el perímetro de red ya no existe como concepto operativo útil.
Zero Trust no es un producto que se compra ni una certificación que se obtiene. Es un modelo de gobierno del acceso a documentos basado en una premisa distinta: nunca confiar por defecto, verificar siempre, limitar el acceso al mínimo necesario. Para una empresa peruana con repositorio documental, esto se traduce en controles concretos y graduales que pueden implementarse sobre las herramientas que ya existen.
Por Qué el Perímetro de Red Ya No Protege los Documentos
El modelo tradicional y sus suposiciones rotas
El modelo de seguridad perimetral asume que todo lo que está dentro de la red corporativa es confiable. El firewall actúa como muralla: lo que está afuera es peligroso, lo que está adentro es seguro. Bajo esa lógica, un usuario conectado a la VPN o dentro de la oficina recibe acceso amplio al repositorio sin verificación adicional.
Esa lógica funcionaba cuando todos los empleados operaban desde una sola ubicación física, los documentos residían en servidores locales, y los proveedores externos no tenían acceso directo a los sistemas. Ninguna de esas tres condiciones es universalmente cierta hoy. El contador accede desde casa. El auditor externo necesita ver los libros contables. La plataforma de facturación electrónica opera en la nube. El repositorio documental se sincroniza con SharePoint o Google Drive. En este escenario, la VPN se convierte en un túnel que lleva al adversario directamente al centro de los datos si obtiene una credencial válida.
El vector de ataque dominante: credenciales robadas
El robo de credenciales corporativas creció más del 160% en LATAM durante 2025. El 86% de las intrusiones interactivas en la región son atribuibles a cibercrimen organizado, y el vector de entrada más frecuente es una credencial legítima obtenida mediante phishing, malware o compra en foros de darkweb. En 2024 se registraron 90 millones de intentos de phishing en Perú según Kaspersky.
El problema no está solo en obtener la credencial, sino en lo que esa credencial permite hacer una vez dentro. Si un asistente contable tiene acceso a toda la carpeta de “Documentos” sin segmentación, una cuenta comprometida alcanza los contratos de clientes, los legajos de RRHH, los estados financieros y los expedientes legales. El daño no es proporcional al nivel del empleado; es proporcional a lo que la cuenta puede alcanzar.
El costo real de una brecha documental
Las consecuencias de una brecha no son solo operativas. La ANPDP impuso S/ 13.4 millones en sanciones durante 2024 — un aumento significativo respecto a los S/ 7.9 millones del año anterior, con 257 sanciones acumuladas entre 2023 y 2024. Las multas por falla en medidas de seguridad con exposición de datos sensibles pueden llegar a S/ 535,000 por caso. A eso se suman los costos indirectos: pérdida de contratos, daño reputacional, y en sectores regulados como el financiero o el de salud, la posibilidad de suspensión de operaciones por parte del regulador sectorial.
Para empresas medianas, una brecha documental puede representar hasta el 20% de los ingresos anuales al sumar multas, costos de remediación, asesoría legal y pérdida de clientes. No es un riesgo teórico — es el costo medido de no haber implementado controles básicos.
Qué es Zero Trust Aplicado a Repositorios Documentales
El NIST SP 800-207 define Zero Trust bajo la premisa de “nunca confiar, siempre verificar”. Aplicado a redes corporativas, eso implica microsegmentación, autenticación continua y cifrado universal. Aplicado a repositorios documentales, se traduce en cinco principios operativos concretos:
| Principio | Qué significa en un repositorio documental | Control práctico |
|---|---|---|
| Verificación continua | Cada acceso a un documento se evalúa, no solo el login inicial | Conditional Access + sesiones con timeout corto |
| Mínimo privilegio | El contador ve facturas, no contratos de RRHH | RBAC + ABAC por tipo documental |
| Microsegmentación | El repositorio se divide en zonas con políticas independientes | Zonas tributaria, RRHH, contratos, legal, operativa |
| Cifrado en tránsito y reposo | Los documentos son ilegibles sin autorización, incluso con acceso al servidor | TLS + cifrado de almacenamiento |
| Telemetría completa | Todo acceso, descarga y modificación queda registrado e inmutable | Logs de auditoría con retención mínima de 5 años |
Zero Trust no es un producto que se compra
Es un modelo que se implementa progresivamente. Una empresa puede aplicar Zero Trust sin adquirir ninguna herramienta nueva si habilita MFA en su Microsoft 365 existente, configura permisos RBAC en su repositorio documental actual, y activa los logs de auditoría ya disponibles en la plataforma. La sofisticación de las herramientas puede escalar con el presupuesto; los principios no requieren inversión inicial significativa.
flowchart LR
subgraph "Modelo Tradicional"
A[Usuario en red] -->|Acceso libre| B[Todo el repositorio]
end
subgraph "Modelo Zero Trust"
C[Usuario] --> D{Verificación continua\nIdentidad + Dispositivo\n+ Ubicación + Hora}
D -->|Aprobado| E[Solo su zona documental\nSolo lo que necesita\nSolo durante esta sesión]
D -->|Rechazado o anómalo| F[Denegado + Alerta]
end
El Marco Legal que Exige Estos Controles
Ley 29733 y el D.S. 016-2024-JUS: las reglas cambiaron en marzo de 2025
El Decreto Supremo 016-2024-JUS, vigente desde el 30 de marzo de 2025, actualiza el reglamento de la Ley 29733 alineándolo con los estándares del RGPD europeo. Los cambios más relevantes para empresas con repositorios documentales:
- Notificación de brechas en 48 horas a la ANPDP desde que se detecta el incidente, sin importar si el alcance aún está siendo determinado.
- Oficial de Datos Personales (ODP/DPO) obligatorio para ciertos tipos de tratamiento; las grandes empresas tenían plazo hasta el 30 de noviembre de 2025 para designarlo.
- Medidas técnicas documentadas y proporcionales a la sensibilidad de los datos tratados — ya no basta con afirmar que existen controles; hay que poder demostrarlos.
- Registro actualizado de bancos de datos personales ante la ANPDP.
Ninguna de estas exigencias menciona “Zero Trust” por nombre. Todas ellas se cumplen naturalmente implementando sus controles: MFA como medida técnica, RBAC como proporcionalidad, logs inmutables como documentación de controles, y acceso temporal para externos como gestión de encargados de tratamiento.
Las multas en soles
Las infracciones se gradúan en tres niveles bajo el reglamento actualizado:
- Infracciones leves: 0.5 a 10 UIT (hasta S/ 53,500).
- Infracciones graves: 10 a 50 UIT (hasta S/ 267,500).
- Infracciones muy graves (falla en medidas de seguridad con exposición de datos sensibles): 50 a 100 UIT (hasta S/ 535,000).
Adicionalmente, la ANPDP puede ordenar la suspensión temporal del tratamiento de datos personales mientras se implementan las medidas correctivas. Para empresas cuyo flujo operativo depende del repositorio documental, esa suspensión puede ser más costosa que la multa misma.
Reguladores sectoriales que también exigen trazabilidad documental
| Sector | Regulador | Exigencia documental relevante |
|---|---|---|
| Financiero | SBS | Ciberseguridad como requisito para Open Finance (Res. 03206-2025). Trazabilidad de expedientes de crédito por 10 años. |
| Tributario | SUNAT | Integridad de facturas electrónicas y libros contables. Retención 5 años. Disponibilidad inmediata ante fiscalización. |
| Laboral | SUNAFIL | Legajos y planillas auditables con acceso controlado. Multas de 1 a 50 UIT. |
| Salud | MINSA | Historias clínicas como datos sensibles de categoría especial con las multas más altas. |
| Estado | SEACE / Contraloría | Expedientes de obra y licitaciones con trazabilidad anticorrupción. |
Los logs de auditoría como instrumento regulatorio
Un repositorio con logs completos e inmutables puede responder una fiscalización de SUNAT en horas en lugar de semanas. Ese mismo registro es la prueba ante la ANPDP de que existían medidas de seguridad implementadas antes de un incidente. La trazabilidad documental deja de ser una funcionalidad técnica y se convierte en un activo regulatorio con valor probatorio directo.
Microsegmentación Documental: El Núcleo del Modelo
La microsegmentación es la diferencia entre “un repositorio” y “un repositorio con zonas de seguridad independientes”. Sin ella, una cuenta comprometida tiene acceso a todo. Con ella, el daño máximo de una brecha queda acotado a la zona a la que esa cuenta tenía acceso legítimo.
Propuesta de zonas para una empresa mediana peruana
| Zona | Tipos de documento | Clasificación | Quién accede | Controles adicionales |
|---|---|---|---|---|
| Tributaria | Facturas electrónicas, libros SUNAT, declaraciones | Confidencial-Alta | Contador, Gerencia Financiera | MFA obligatorio, descarga con aprobación, logs por documento |
| RRHH | Legajos, contratos laborales, planillas, datos biométricos | Confidencial-Máxima | Solo RRHH + Gerencia General | DLP activo, prohibición de copia externa, re-auth para datos biométricos |
| Contratos | Contratos comerciales, NDA, acuerdos de proveedores | Confidencial-Media | Por proyecto asignado | Expiración automática para externos, versionado obligatorio |
| Legal/Regulatoria | Expedientes SUNAFIL, SBS, resoluciones, actas | Confidencial-Alta | Gerencia Legal + auditores designados | Acceso just-in-time para auditores, log de cada lectura |
| Operativa | Procedimientos, manuales, formularios internos | Interna | Todos los empleados | Sin restricción interna, sin acceso externo |
| Pública | Catálogos, brochures, contenido de marketing | Pública | Sin restricción | Sin control de acceso requerido |
Cómo la microsegmentación frena el movimiento lateral
flowchart TB
subgraph "Sin Microsegmentación"
A1[Cuenta de asistente contable comprometida] -->|Acceso libre| B1[Facturas SUNAT]
A1 -->|Acceso libre| B2[Legajos RRHH]
A1 -->|Acceso libre| B3[Contratos de clientes]
A1 -->|Acceso libre| B4[Expedientes legales]
end
subgraph "Con Microsegmentación Zero Trust"
A2[Cuenta de asistente contable comprometida] --> C{Verificación por zona}
C -->|Autorizado| D1[Solo Zona Tributaria]
C -->|Bloqueado + Alerta| D2[Zona RRHH: DENEGADO]
C -->|Bloqueado + Alerta| D3[Zona Contratos: DENEGADO]
C -->|Bloqueado + Alerta| D4[Zona Legal: DENEGADO]
end
RBAC y ABAC: dos capas de control de acceso
RBAC (Role-Based Access Control): el contador accede a la zona tributaria por su rol. Todos los contadores del mismo nivel tienen el mismo conjunto de permisos. Es el control adecuado para la mayoría de empresas medianas peruanas como primer paso: simple de administrar y fácil de auditar.
ABAC (Attribute-Based Access Control): el analista de crédito accede solo a los expedientes de los clientes que le están asignados, no a todos los expedientes de la zona de créditos. La condición no es el rol sino el atributo “analista asignado a este expediente específico”. ABAC agrega granularidad cuando RBAC resulta demasiado amplio para la operación.
Para repositorios con alta sensibilidad — datos de salud, expedientes judiciales, información de licitaciones — la combinación de ambos controles reduce el radio de impacto de cualquier credencial comprometida al mínimo operativamente posible.
Identidad y MFA: La Primera Línea de Defensa
Por qué la identidad es el nuevo perímetro
Con trabajo híbrido, el perímetro ya no es la red — es la identidad del usuario. Un empleado que trabaja desde casa, desde una cafetería o desde las instalaciones de un cliente utiliza la misma identidad corporativa; la diferencia está en si esa identidad se verifica correctamente cada vez que solicita acceso a un documento sensible.
Implementación gradual de MFA
El error más frecuente en implementaciones de MFA es habilitarlo para todos los usuarios simultáneamente. Eso genera resistencia operativa masiva y termina en una lista de excepciones que vacían el control. El rollout gradual por prioridad es más sostenible:
| Prioridad | Quién | Plazo | Método recomendado |
|---|---|---|---|
| 1 — Inmediato | Cuentas administrativas del repositorio, VPN, correo corporativo | Semana 1-2 | FIDO2 o app autenticadora (TOTP) |
| 2 — Temprano | Usuarios con acceso a zona tributaria, RRHH y contratos | Mes 1-3 | App autenticadora (TOTP) |
| 3 — General | Todos los usuarios internos con acceso a datos clasificados | Mes 3-6 | App autenticadora |
| 4 — Externos | Proveedores y auditores con acceso a cualquier zona confidencial | Mes 6-12 | TOTP preferible; OTP por correo como mínimo |
El SMS como único segundo factor es insuficiente para documentos sensibles por el riesgo de SIM swapping. Las apps autenticadoras (Google Authenticator, Microsoft Authenticator) constituyen el estándar mínimo recomendado. Microsoft reporta que MFA bien implementado bloquea más del 99.9% de los ataques automatizados de credenciales.
Conditional Access: más allá del usuario
El acceso no depende solo de quién es el usuario, sino de tres variables adicionales que el Conditional Access evalúa en cada solicitud:
- Dispositivo: ¿está gestionado por la empresa? ¿tiene EDR activo? ¿cifrado habilitado?
- Ubicación: ¿IP habitual? ¿ubicación geográfica consistente con el perfil del usuario? Un desplazamiento geográficamente imposible (“impossible travel”) es señal automática de cuenta comprometida.
- Hora y comportamiento: acceso a la zona de RRHH a las 3 AM desde una IP extranjera activa bloqueo automático y alerta al equipo de seguridad.
PAM para cuentas administrativas del repositorio
Las cuentas de administrador del sistema de gestión documental son el blanco de mayor valor: tienen acceso a todas las zonas, pueden modificar permisos y pueden eliminar logs. El modelo de Privileged Access Management (PAM) resuelve esto con acceso just-in-time: el administrador solicita acceso elevado para una tarea específica, el sistema lo aprueba por un período definido, y el acceso expira automáticamente al vencer el plazo. No existen permisos administrativos permanentes activos que puedan ser robados o abusados.
Logs de Auditoría: De Herramienta Técnica a Instrumento Regulatorio
Qué debe registrar un repositorio documental
Un sistema de logs para repositorio documental debe capturar, como mínimo:
- Login exitoso y fallido: quién, cuándo, desde qué dispositivo y ubicación.
- Acceso a un documento: quién vio qué documento, en qué versión, a qué hora.
- Descarga de un documento: mismo detalle; descarga masiva en tiempo corto debe generar alerta automática.
- Modificación de un documento: qué cambió, quién, cuándo.
- Intento de acceso denegado: información crítica para detectar ataques o insiders explorando zonas sin autorización.
- Eliminación o movimiento de documentos entre zonas.
- Cambio de permisos: quién otorgó o revocó acceso a quién y cuándo.
Los logs deben ser inmutables: el usuario que genera la traza no puede editarla ni eliminarla. Un log sin inmutabilidad tiene valor probatorio limitado ante una fiscalización o un proceso judicial.
Plazos de retención por normativa
| Tipo de documento | Normativa | Plazo mínimo de retención de logs |
|---|---|---|
| Tributarios (facturas, libros) | SUNAT — Código Tributario | 5 años desde la declaración del período |
| Laborales (legajos, planillas) | DL 728 / DS 001-96-TR | 10 años post-cese del trabajador |
| Datos personales | Ley 29733 / D.S. 016-2024-JUS | Mientras exista la finalidad del tratamiento |
| Documentos financieros | SBS | 10 años post-operación |
| Microformas con valor legal | D.L. 681 / NTP 392.030-2 | Indefinido según naturaleza del documento |
Los logs como respuesta a una fiscalización
Escenario práctico: SUNAT inicia una fiscalización y solicita toda la documentación tributaria de los últimos tres años. Con logs completos, la empresa puede demostrar en horas que los documentos no han sido alterados desde su creación (integridad), quién accedió y cuándo (cadena de custodia), y que existen controles que impiden manipulación no autorizada. Ese mismo paquete de evidencia sirve ante la ANPDP si se reporta una brecha: los logs son la prueba de que las medidas de seguridad existían antes del incidente, lo que puede reducir la graduación de la sanción.
Zero Trust por Sector: Casos de Uso en Empresas Peruanas
Sector Financiero (SBS)
El riesgo principal es la exfiltración de expedientes de crédito y estados de cuenta como materia prima para fraude financiero y doble extorsión. La Resolución SBS 03206-2025 establece ciberseguridad como requisito para Open Finance. Los controles de mayor impacto: MFA FIDO2 para analistas de crédito, alerta automática ante descarga masiva de expedientes en ventana de tiempo corta — señal de insider threat o empleado próximo a renunciar — y trazabilidad de cada acceso con retención de diez años. El cumplimiento de la Ley 29733 y la Resolución SBS se logra con los mismos controles; no son requerimientos paralelos que exijan esfuerzos separados.
Sector Salud (MINSA / Seguros)
Las historias clínicas y resultados de laboratorio son datos sensibles de categoría especial bajo la Ley 29733 — las multas más altas de la ANPDP aplican aquí, y la notificación de brechas es obligatoria sin umbral mínimo de afectados. El control más crítico es ABAC basado en la relación médico-paciente: solo el médico tratante accede al expediente del paciente asignado. DLP activo para bloquear impresión de historias clínicas sin aprobación explícita. El sector salud privado que no implemente estos controles antes de una brecha enfrenta la mayor exposición regulatoria del sistema.
Sector Agroindustrial y Exportador (SUNAT / SENASA)
Los certificados fitosanitarios y documentos de exportación son objetivos de falsificación con consecuencias comerciales directas: un certificado comprometido puede bloquear un embarque entero. Los controles clave: firma digital e integridad verificable (microformas con valor legal bajo D.L. 681), control de versiones con audit trail como defensa ante falsificación, y segmentación que aísla los documentos de producción de los documentos de exportación. Una versión no autorizada de un certificado en circulación es un incidente regulatorio, no solo de seguridad.
Sector Público y Gobierno Regional (SEACE / Contraloría)
Los expedientes de licitaciones y contratos de obra son blancos de corrupción interna, no solo de ataques externos. El control más relevante en este contexto es la segregación de funciones con trazabilidad visible — quien aprueba no puede modificar el expediente sin que quede registrado. MFA para funcionarios con poder de firma electrónica. Los logs funcionan como herramienta de control interno anticorrupción: el supervisor puede auditar en tiempo real qué expediente fue accedido, modificado o descargado por quién. La Contraloría puede solicitar estos registros en una acción de control.
Checklist de Implementación por Fases
Fase 1 — Inventario y Clasificación (Mes 1-2)
- Inventariar todos los repositorios: red local, nube, correo, físicos pendientes de digitalizar.
- Clasificar documentos en cuatro niveles: público, interno, confidencial, estrictamente confidencial.
- Identificar datos personales y datos sensibles bajo Ley 29733; iniciar registro ante la ANPDP.
- Mapear quién accede a qué: usuarios actuales, roles, departamentos, accesos de proveedores externos.
- Identificar documentos bajo normativa específica: facturas SUNAT, legajos SUNAFIL, datos de salud MINSA.
Fase 2 — Identidad y Autenticación (Mes 2-4)
- Centralizar gestión de identidades en un IdP (Active Directory, Azure AD, Google Workspace u Okta).
- Eliminar cuentas locales en el repositorio — todo autenticado contra el IdP corporativo.
- Habilitar MFA para cuentas administrativas (prioridad máxima, semana 1).
- Implementar MFA para acceso a zonas de documentos sensibles.
- Configurar Conditional Access: bloquear desde dispositivos no gestionados o ubicaciones inusuales.
- Evaluar si aplica designación de Oficial de Datos Personales según D.S. 016-2024-JUS.
Fase 3 — Microsegmentación Documental (Mes 3-6)
- Crear zonas de seguridad en el repositorio por tipo documental (tributaria, RRHH, contratos, legal, operativa).
- Asignar permisos RBAC mínimos por zona — nadie tiene acceso a zonas fuera de su función.
- Implementar acceso temporal con expiración automática para proveedores y auditores externos.
- Configurar DLP básico: alertas ante descarga masiva o envío de documentos sensibles a correo externo.
- Revisar y eliminar permisos heredados y cuentas de ex-empleados activas.
Fase 4 — Logs y Telemetría (Mes 4-6)
- Activar logging completo: quién, qué, cuándo, desde dónde, qué acción ejecutó.
- Configurar logs inmutables — sin posibilidad de edición por el usuario que genera la traza.
- Definir política de retención: mínimo 5 años para tributarios; 10 años para laborales y financieros.
- Centralizar logs en almacenamiento separado del repositorio (o SIEM si el presupuesto lo permite).
- Configurar alertas automáticas: descarga masiva, acceso fuera de horario, intentos fallidos repetidos.
Fase 5 — Control Continuo (Mes 6 en adelante)
- Revisión trimestral de permisos (access certification): nadie conserva acceso que ya no necesita.
- Deprovisioning automático: baja de empleado equivale a revocación inmediata de todos los accesos.
- Incluir cláusulas de seguridad en contratos con proveedores que manejan documentos (obligatorio bajo Ley 29733 para encargados de tratamiento).
- Documentar todas las medidas de seguridad implementadas (exigido por D.S. 016-2024-JUS).
- Preparar protocolo de notificación de brechas: procedimiento para notificar a la ANPDP en menos de 48 horas.
- Simulacro anual de brecha documental: medir tiempo de detección y tiempo de respuesta.
Los Errores Más Frecuentes y Cómo Evitarlos
| Error | Consecuencia | Corrección |
|---|---|---|
| Habilitar MFA masivo sin preparación | Resistencia operativa generalizada; lista de excepciones que vacía el control | Rollout gradual por prioridad empezando por cuentas administrativas |
| Confiar en el perímetro de red con VPN | Una credencial robada otorga acceso a todo el repositorio | Implementar verificación continua por zona, no solo en el login inicial |
| Permisos heredados sin revisión periódica | Ex-empleados o empleados con funciones cambiadas conservan acceso amplio | Access certification trimestral; deprovisioning automático al dar de baja |
| Logs sin retención adecuada | Incapacidad de responder fiscalizaciones de SUNAT o auditorías de la ANPDP | Política de retención documentada: 5 años mínimo tributarios, 10 años laborales y financieros |
| Proveedor externo con acceso permanente | Un proveedor comprometido mantiene acceso indefinido al repositorio | Acceso temporal con expiración automática; renovación explícita por proyecto |
| Segmentar sin clasificar primero | Las zonas no coinciden con los documentos reales; el control es cosmético | Inventario y clasificación documental antes de cualquier decisión de herramienta |
| Controlar solo usuarios, ignorar el dispositivo | Un usuario legítimo desde un dispositivo comprometido pasa todos los controles | Conditional Access que evalúa el estado del dispositivo como condición de acceso |
| No designar ODP/DPO cuando corresponde | Incumplimiento del D.S. 016-2024-JUS; exposición ante la ANPDP sin punto de contacto formal | Evaluar obligatoriedad según volumen y tipo de datos tratados; designar antes del plazo regulatorio |
Conclusión
Zero Trust documental no es una declaración de desconfianza hacia los empleados — es reconocer que el adversario ya opera dentro del perímetro. Con 748 millones de intentos de ciberataque en Perú solo en la primera mitad de 2025 y un robo de credenciales corporativas que creció más del 160% en LATAM, el modelo de “confiar en la red interna” representa una apuesta demasiado costosa. El 86% de las intrusiones son cibercrimen organizado que sabe exactamente qué busca: repositorios documentales con expedientes financieros, tributarios o de RRHH accesibles con una sola credencial válida.
El punto de partida no es una herramienta — es el inventario documental. Qué documentos existen, dónde están almacenados y quién accede a ellos. Sin ese mapa, ninguna tecnología puede segmentar correctamente ni calcular el riesgo real. La buena noticia para empresas medianas peruanas: muchas ya cuentan con las herramientas necesarias. Microsoft 365 y Google Workspace incluyen capacidades de MFA, Conditional Access, permisos granulares y logs de auditoría que en la mayoría de los casos no están activadas. No hay que cambiar de plataforma — hay que aprovechar lo que ya se tiene.
En AyP Digital, el proceso de digitalización profesional y el software ePaper de gestión documental son el punto de partida natural del inventario documental: cada documento digitalizado queda indexado con metadatos, clasificado por tipo y con control de acceso por rol desde el momento de su incorporación al repositorio. Los logs de auditoría, el acceso temporal para externos con expiración automática y el versionado con trazabilidad completa son funciones integradas que se alinean directamente con los pilares de Zero Trust y con los requisitos del D.S. 016-2024-JUS. Para consultas sobre implementación: +51 942 867 653 / ventas@aypdigital.com.
