Definiciones y alcance de los servicios de ciberseguridad industrial

Vigente desde el 1 de abril de 2025

El presente documento establece las condiciones, exclusiones y límites bajo los cuales Saicybersecurity Operative presta servicios de protección perimetral de redes M2M, implementación de cortafuegos de hardware y encriptación de bases de datos distribuidas. Su objetivo es eliminar ambigüedades contractuales y fijar el marco técnico-jurídico de las soluciones entregadas.

1. Ámbito de aplicación

Las cláusulas siguientes rigen toda relación entre Saicybersecurity Operative y el cliente que contrate servicios de blindaje de redes de automatización industrial, pasarelas Zero Trust o firewall de hardware. Quedan excluidos expresamente los entornos residenciales, redes de oficina sin instrumentación crítica y cualquier sistema que maneje criptomonedas o activos digitales especulativos.

Entornos SCADA locales con tráfico M2M superior a 100 paquetes por segundo.
Bases de datos distribuidas que almacenen configuraciones de sensores o históricos de alarmas.
Pasarelas de acceso seguro que implementen microsegmentación OT y autenticación multifactor.
Dispositivos de cortafuegos hardware con políticas de filtrado por dirección MAC y estado de sesión.

2. Exclusiones de responsabilidad

Saicybersecurity Operative no se hace responsable por brechas derivadas de modificaciones no autorizadas al hardware o firmware de los cortafuegos, ni por la exposición de claves de encriptación almacenadas fuera de los módulos HSM provistos. Tampoco cubre ataques que utilicen vectores físicos no protegidos contractualmente, como acceso directo a consolas de PLC sin vigilancia.

Alteración de reglas de firewall por personal no certificado del cliente.
Uso de contraseñas compartidas o credenciales por defecto en dispositivos de instrumentación.
Interrupción del suministro eléctrico que deshabilite las pasarelas Zero Trust sin redundancia.
Vulnerabilidades en software de terceros integrado a la red OT sin evaluación previa.

3. Condiciones de encriptación de datos

El servicio de cifrado de bases de datos SCADA se limita a algoritmos AES-256 con gestión de claves mediante HSM. No se garantiza la compatibilidad con sistemas heredados que utilicen protocolos sin cifrado nativo, como versiones de Modbus TCP anteriores a la especificación 2012. El cliente debe proporcionar acceso físico o remoto a los servidores de base de datos para la instalación de los agentes de cifrado.

Cifrado simétrico a nivel de columna para tablas de parámetros de proceso.
Rotación automática de claves cada 90 días con almacenamiento en HSM FIPS 140-2.
Registro de auditoría de accesos a datos desencriptados con sello de tiempo y origen.
Exclusión de campos de diagnóstico que requieran lectura en claro por normativa local.

4. Política de actualizaciones y parches

Los cortafuegos de hardware y pasarelas Zero Trust reciben actualizaciones de firmware durante la vigencia del contrato. Saicybersecurity Operative notificará con al menos 15 días de antelación los parches críticos que requieran ventana de mantenimiento. El cliente se obliga a aplicar dichas actualizaciones en un plazo no mayor a 30 días hábiles; de lo contrario, la garantía sobre la protección perimetral quedará suspendida.

Actualizaciones de seguridad clasificadas como críticas: aplicación obligatoria en 15 días.
Parches de funcionalidad opcional: programación acordada entre las partes.
Rollback a versión anterior disponible solo si el cliente mantiene copia de firmware firmada.
Pruebas en entorno de staging antes de despliegue en producción.

5. Propiedad intelectual y confidencialidad

Todo el código, configuración de firewall, reglas de microsegmentación y scripts de encriptación desarrollados específicamente para el cliente son propiedad de Saicybersecurity Operative hasta el pago total del servicio. El cliente recibe una licencia de uso perpetuo para el entorno contratado, sin derecho a redistribución. La información intercambiada durante la ejecución del servicio se considera confidencial por un período de cinco años.

Configuraciones de políticas de acceso Zero Trust: licencia de uso restringido al sitio contratado.
Scripts de automatización de cifrado: propiedad del cliente tras pago completo.
Informes de auditoría de seguridad: confidenciales, no compartibles con terceros sin autorización.
Datos de telemetría de red M2M: anonimizados y usados solo para mejora del servicio.

6. Limitación de responsabilidad

En ningún caso Saicybersecurity Operative será responsable por daños indirectos, pérdida de producción, lucro cesante o daños a la propiedad intelectual del cliente derivados de un incidente de seguridad, incluso si se hubiera advertido de la posibilidad de tales daños. La responsabilidad máxima acumulada no excederá el valor total pagado por el servicio en los doce meses anteriores al reclamo.

Daños por interrupción de procesos industriales no cubiertos por el SLA específico.
Pérdida de datos no respaldados por el cliente en sistemas externos al perímetro protegido.
Incidentes causados por fuerza mayor, actos de terceros o negligencia grave del cliente.
Reclamos presentados después de 90 días de ocurrido el evento.

7. Legislación aplicable y resolución de controversias

Estas condiciones se rigen por las leyes de la República Argentina. Cualquier controversia será sometida a los tribunales ordinarios de la Ciudad Autónoma de Buenos Aires, con renuncia expresa a cualquier otro fuero o jurisdicción. Para reclamaciones de cuantía inferior a 50 unidades tributarias, las partes acuerdan someterse a mediación previa obligatoria.

Mediación previa en el Centro de Mediación del Colegio de Ingenieros de la Provincia de Buenos Aires.
Plazo de mediación: 60 días hábiles prorrogables por acuerdo de partes.
Costas del proceso a cargo de la parte que resulte vencida, salvo pacto en contrario.
Notificaciones electrónicas con validez legal mediante correo certificado a info@saicybersecurity.com.