Políticas — Hero Hub

Propósito

Hero Insurance USA se compromete a proteger la información confidencial, personal y regulada de agentes, clientes, empleados y socios comerciales, mediante controles técnicos, administrativos y operativos adecuados al tamaño y naturaleza del negocio asegurador.

Aplica a

Todos los empleados y agentes contratados por Hero Insurance USA
Personal administrativo, contractor o temporal
Proveedores externos con acceso a sistemas o datos
Cualquier sistema digital o repositorio gestionado por la empresa

Sistemas cubiertos

Google Workspace (Gmail, Drive, Sheets, Docs, Calendar, Meet, Chat)
Hero Hub (portal interno) y Firebase/Firestore
Hero IT Console y Cloudflare Workers
Base de datos de agentes (Railway, MySQL)
Repositorios GitHub de la organización
Portales de Carriers (Aetna, Humana, United, Wellcare, etc.)
Herramientas de productividad autorizadas (ClickUp, Canva, Scribe, DeepL, ExpressVPN, Zoho Assist, HubSpot, GoHighLevel)
Equipos corporativos y dispositivos personales con acceso a recursos Hero

NIVEL 1 · PÚBLICO

Información Pública

Puede compartirse externamente sin riesgo. Incluye: material de marketing aprobado, contenido publicado en redes sociales, sitio web heroinsuranceusa.com, comunicados de prensa.

NIVEL 2 · INTERNO

Información Interna

No debe compartirse fuera de la empresa. Incluye: organigrama, listas internas de agentes (sin datos sensibles), procesos operativos, comunicaciones internas, estrategias comerciales.

NIVEL 3 · CONFIDENCIAL

Información Sensible

Requiere controles estrictos. Incluye: SSN, ITIN, FEIN, fechas de nacimiento, direcciones residenciales completas, licencias estatales, NPN, información financiera y bancaria, PHI (información médica protegida), credenciales de portales, datos de comisiones, contratos firmados.

ℹ️ Principio de Mínimo Privilegio: cada usuario tendrá acceso únicamente a la información necesaria para cumplir su función específica.

Roles y accesos

Rol	Nivel de acceso
Sales / Recruiters	Información operativa básica de agentes. Sin acceso a SSN, DOB ni dirección completa. Sin acceso a información financiera.
Operations / Support	Información operativa y de cumplimiento. Acceso limitado a datos sensibles según necesidad demostrada y aprobada.
Finance / HR	Información financiera, de comisiones y datos sensibles necesarios para nómina, impuestos y reporting regulatorio.
Leadership	Acceso completo según función ejecutiva. Sujeto a las mismas reglas de auditoría que el resto del equipo.
IT / Compliance	Acceso a sistemas, configuraciones y logs necesarios para mantenimiento, seguridad y cumplimiento normativo.

Gestión de accesos

Los accesos al Hero Hub se gestionan vía Google Auth restringido a @heroinsuranceusa.com
Los accesos a Google Drive se asignan por carpeta según rol; evitando permisos individuales cuando sea posible
El acceso a sistemas críticos (Firestore, MySQL, GitHub, Cloudflare, dominios) está limitado al IT Manager
Revisión trimestral de accesos obligatoria por parte del IT Manager
Está prohibido compartir archivos con permisos públicos ("cualquiera con el enlace") cuando contengan información Nivel 2 o 3
Toda solicitud de acceso adicional debe quedar documentada por escrito (Gmail, Chat o ticket IT)

Separación de información

La información Nivel 3 (Confidencial) debe almacenarse en repositorios separados de la información operativa general. En la base de datos de agentes, los campos sensibles (SSN, datos bancarios) deben estar cifrados en reposo.

Restricciones

Prohibido compartir enlaces públicos a información sensible
Prohibido descargar bases de datos completas sin autorización del IT Manager
Prohibido reenviar información sensible a cuentas personales (Gmail personal, WhatsApp, Telegram, etc.)
Prohibido capturar pantalla de información sensible para uso fuera del entorno corporativo
Prohibido imprimir documentos con datos Nivel 3 sin justificación operativa
Prohibido enviar SSN, DOB, datos bancarios o credenciales por correo, chat o cualquier canal sin cifrado

Registro de cambios

Toda modificación en bases de datos críticas (agentes, comisiones, finanzas) deberá quedar registrada mediante: historial de cambios de Google Sheets/Docs, logs automáticos de Firestore y MySQL, y registro interno cuando aplique. Las eliminaciones de datos deben ser explícitamente autorizadas.

Autenticación Multifactor (MFA)

MFA es obligatorio para todos los usuarios de cuentas @heroinsuranceusa.com sin excepción
El método autorizado es Google Authenticator instalado en el dispositivo móvil del usuario
Está prohibido desactivar MFA bajo cualquier circunstancia
El IT Manager puede forzar MFA en sistemas administrados (Firebase, Cloudflare, GitHub, dominios)

Contraseñas

Mínimo 12 caracteres para cuentas corporativas, con mezcla de letras, números y símbolos
Prohibido reutilizar contraseñas personales en cuentas corporativas
Prohibido compartir credenciales con otros usuarios (cada persona usa su propia cuenta)
Prohibido almacenar contraseñas en documentos planos, notas, hojas de Google, Word o similares
Para credenciales compartidas de carriers, usar el módulo "Portales" del Hero Hub o un gestor aprobado

Acceso desde dispositivos

El acceso a sistemas corporativos debe realizarse desde dispositivos con sistema operativo actualizado y antivirus activo
Se recomienda el uso de Google Chrome o Microsoft Edge actualizados
Se prohíbe el acceso desde computadoras públicas (cibercafés, hoteles, terminales compartidos)
El acceso desde dispositivos personales (BYOD) está permitido siempre que cumpla las medidas de seguridad mínimas

Equipos corporativos

Los equipos asignados por la empresa están sujetos a configuraciones de seguridad obligatorias
Pantalla bloqueada automáticamente tras 10 minutos de inactividad
Cifrado de disco activo (BitLocker en Windows, FileVault en macOS)
Soporte y mantenimiento mediante Zoho Assist (con consentimiento del usuario en cada sesión)
Prohibido instalar software no autorizado o cracks de cualquier tipo

Dispositivos móviles

Cuentas Hero accedidas desde móvil deben tener PIN, huella o reconocimiento facial activo
En caso de pérdida o robo, reportar inmediatamente al IT Manager para suspender accesos

⚠️ Este proceso debe completarse el mismo día de terminación, sin excepción. Los pasos son ejecutados por el IT Manager con apoyo de HR/Office Manager.

Pasos requeridos (mismo día)

Suspensión inmediata de la cuenta corporativa @heroinsuranceusa.com
Revocación de todas las sesiones activas (Google Workspace, Hero Hub, Firebase)
Cambio de contraseñas de cuentas compartidas a las que el ex-empleado tenía acceso
Revocación de tokens y app passwords
Remoción de Google Groups y carpetas compartidas en Drive
Revocación de accesos a sistemas externos (carriers, ClickUp, HubSpot, etc.)
Recuperación de equipos y dispositivos asignados
Documentación formal del proceso por parte de IT

Posterior al offboarding

Transferencia de archivos del usuario a su supervisor directo
Retención de datos según política de cumplimiento (mínimo 7 años para registros financieros)
Eliminación de la cuenta tras 90 días, salvo retenciones legales activas

Se considera incidente

Acceso no autorizado a sistemas o información Hero
Pérdida o robo de datos, equipos o credenciales
Compartición accidental de información sensible (envío al destinatario equivocado, archivo público por error)
Sospecha de phishing, smishing o ingeniería social dirigida al equipo
Exposición de información confidencial en herramientas de IA o redes públicas
Compromiso de cuentas (login no reconocido, MFA bypass, cambio de contraseña no solicitado)
Detección de malware o comportamiento anómalo en equipos

Procedimiento de respuesta

Reporte inmediato al IT Manager (vía correo, WhatsApp o ticket de soporte) — no esperar a "ver qué pasa"
Evaluación inicial del alcance del incidente en menos de 4 horas
Contención: suspender cuentas comprometidas, revocar tokens, aislar equipos
Documentación formal con fecha, hora, sistemas afectados, datos comprometidos
Notificación al CEO y COO si el incidente involucra datos Nivel 3
Evaluación de obligación regulatoria (FTC Safeguards: notificación a FTC en 30 días si afecta a 500+ personas)
Lecciones aprendidas y actualización de controles si aplica

🛡️ No hay penalización por reportar incidentes de buena fe. Sí la hay por ocultarlos. Reportar tarde o nunca es la falla más grave en seguridad.

Anual: Evaluación completa de riesgos de seguridad y revisión integral de estas políticas
Trimestral: Revisión de accesos, permisos y cuentas activas
Trimestral: Auditoría de uso de herramientas autorizadas (ClickUp, Canva, IA, etc.)
Mensual: Revisión de logs de acceso a sistemas críticos
Continua: Actualización de políticas según crecimiento de la empresa, nuevas regulaciones o herramientas adoptadas
Post-incidente: Revisión específica tras cualquier incidente reportado
Métricas de uso del Hub: El Hero Hub registra eventos anónimos agregados (página visitada, fecha) para medir el uso interno y detectar secciones con poco tráfico. No se registra contenido leído, tiempo específico en cada página, ni se comparten estos datos fuera del equipo de IT. Los eventos se eliminan automáticamente tras 90 días. Solo el IT Manager tiene acceso al panel de métricas.

FTC Safeguards Rule (GLBA) — protección de información financiera del consumidor. Requiere programa formal de seguridad, designación de Qualified Individual, evaluación de riesgos y notificación de brechas.
HIPAA — cuando aplique por manejo de PHI (Protected Health Information) en planes Medicare/Medicaid/ACA
CMS Marketing Guidelines — cumplimiento de regulaciones de marketing y enrollment de Medicare
State Insurance Regulations — leyes estatales aplicables en cada estado donde opera Hero (FL, CA, TX, NY y otros)
FCRA — cuando se realicen consultas de antecedentes para contratación
CAN-SPAM Act — cumplimiento en comunicaciones de marketing por email
TCPA — cumplimiento en comunicaciones telefónicas y SMS automatizados

⚡ El uso de IA está permitido y promovido en Hero. Esta política define qué se puede y qué nunca debe pegarse en estas herramientas.

Herramientas autorizadas

ChatGPT, Gemini, Claude — asistentes de IA generativa para apoyo en tareas operativas
DeepL — traducción de textos no sensibles
Canva, Scribe — creación de contenido y guías
HubSpot, GoHighLevel — CRM autorizados
Cualquier herramienta nueva debe ser aprobada por IT antes de su uso con datos corporativos

PROHIBIDO pegar en herramientas de IA

SSN, ITIN, FEIN, números de cuenta bancaria, tarjetas de crédito
Direcciones residenciales completas de agentes o clientes
Fechas de nacimiento reales de personas identificables
Información médica (PHI): diagnósticos, condiciones, medicamentos, planes de salud específicos vinculados a personas
Credenciales (usuarios, contraseñas, tokens, API keys) de cualquier sistema
Contratos firmados, documentos legales internos, información financiera de la empresa no pública
Bases de datos completas de agentes o clientes

Permitido pegar en herramientas de IA

Texto operativo genérico, plantillas de comunicación, ejemplos sin datos reales
Datos anonimizados o ficticios para pruebas y aprendizaje
Código fuente que no contenga credenciales hardcodeadas
Preguntas conceptuales sobre regulación, mercados, productos
Documentos públicos del sitio web heroinsuranceusa.com

Cuentas y privacidad

El uso debe hacerse desde cuentas personales separadas de la cuenta Hero, salvo licencias corporativas explícitas
Si la herramienta ofrece desactivar entrenamiento del modelo con tus datos, debe estar desactivado
Cuando exista versión Enterprise/API con acuerdo de privacidad, debe preferirse

Principios

Cada agente y empleado debe tener su propia credencial individual cuando el carrier lo permita
Las credenciales compartidas de portales (cuando el carrier no ofrece multi-usuario) se gestionan exclusivamente desde el módulo "Portales" del Hero Hub
Cada credencial es información Nivel 3 (Confidencial)

Almacenamiento

Las credenciales personales se almacenan exclusivamente en la sección personal del Hero Hub, accesible solo por el dueño
Las credenciales compartidas se almacenan con acceso restringido a usuarios autorizados según reglas de seguridad de Firestore
Prohibido guardar credenciales en hojas de Google, documentos planos, correos, chats o capturas de pantalla
Prohibido usar el "Recordar contraseña" del navegador para credenciales compartidas

Uso

El acceso a portales debe registrarse mínimamente: quién accedió, cuándo y para qué propósito si se trata de cuentas compartidas
Cerrar sesión al terminar el uso, especialmente desde dispositivos compartidos
No realizar cambios estructurales en cuentas compartidas sin coordinación previa

Rotación y revocación

Las credenciales compartidas deben rotarse al menos cada 6 meses
Rotación inmediata cuando un usuario con acceso es desvinculado de la empresa (offboarding)
Rotación inmediata si se sospecha compromiso de la credencial
El IT Manager mantiene el registro de últimas rotaciones

🌐 Hero Insurance USA opera con base en Estados Unidos y un equipo distribuido. Esta política reconoce esa realidad y establece controles adicionales para el trabajo remoto.

Conexión segura

El uso de VPN corporativa (ExpressVPN u otra autorizada) es obligatorio cuando se accede a sistemas Nivel 3 desde redes públicas o no confiables
Prohibido conectarse a sistemas Hero desde redes WiFi públicas sin VPN activa
Recomendado el uso de conexión por cable o WiFi privado con WPA2/WPA3

Espacio de trabajo

Trabajar en espacio privado o donde la pantalla no sea visible por terceros cuando se manejen datos sensibles
No mantener llamadas que involucren información sensible en espacios públicos (cafés, transporte público, coworkings abiertos)
Bloquear el equipo al alejarse, aunque sea brevemente

Comunicación del equipo

Canales oficiales: Gmail, Google Chat, Google Meet, Gather Town
WhatsApp permitido para comunicación operativa; prohibido para envío de datos Nivel 3
Toda decisión importante debe quedar registrada en canal oficial, no solo en mensajería personal
Reuniones grabadas requieren consentimiento previo de todos los participantes

Disponibilidad y zona horaria

Hora oficial de la empresa: Eastern Time (Miami)
Cada miembro del equipo debe declarar su zona horaria habitual y horario de disponibilidad
Cambios prolongados de ubicación física (por ejemplo, viajes mayores a 30 días) deben notificarse al manager directo y a IT

Políticas Internas