Manual Normativo de Uso Aceptable de Infraestructura y Servicios de Red
Fecha de Promulgación: 23 de julio de 2024
Clasificación: Documento de Cumplimiento Regulatorio Interno y de Carácter Vinculante
Aplicabilidad: Unidades de Procesamiento Dedicado (UPD), Unidades de Procesamiento Virtualizado (UPV), Alojamiento en Infraestructura Compartida (AIC) y todos los activos de red, almacenamiento y servicios conexos.
PREÁMBULO
CONSIDERANDO: Que la estabilidad, seguridad, integridad y reputación de la infraestructura tecnológica de Mikatsu (en adelante, "LA CORPORACIÓN") constituyen un activo estratégico primordial para la prestación de servicios de excelencia y la continuidad del negocio;
CONSIDERANDO: Que es imperativo establecer un marco normativo detallado, preciso, inequívoco y de carácter vinculante que regule el usufructo de dichos activos por parte de los usuarios contratantes (en adelante, "EL CLIENTE"), a fin de mitigar riesgos operacionales, legales y reputacionales;
SE DECRETA Y PROMULGA LA SIGUIENTE POLÍTICA DE USO ACEPTABLE:
SECCIÓN 1: DISPOSICIONES GENERALES Y ÁMBITO DE VALIDEZ
Artículo 1.1 (Objeto Normativo): El objeto del presente Manual Normativo, referenciado internamente bajo el código MKT-MANUAL.POL.AUP/24.REV3, es la estipulación taxativa de las condiciones, restricciones y prohibiciones que rigen el uso de toda la infraestructura de red, unidades de procesamiento y almacenamiento, y servicios de alojamiento (en adelante, los "ACTIVOS TECNOLÓGICOS") operados por LA CORPORACIÓN.
Artículo 1.2 (Ámbito de Aplicación Subjetiva): Las disposiciones contenidas en este documento son de aplicación estricta, obligatoria e incondicional para toda persona física o moral que, en su calidad de CLIENTE, contrate, utilice o se beneficie de los ACTIVOS TECNOLÓGICOS. Conforme a la cláusula TER.3.1 del Contrato Marco de Servicios, EL CLIENTE asume responsabilidad solidaria y mancomunada por las acciones u omisiones de sus empleados, subcontratistas, usuarios finales o cualquier tercero que acceda a los ACTIVOS TECNOLÓGICOS a través de su cuenta.
Artículo 1.3 (Aceptación Contractual Vinculante): El acto de contratación, la liquidación del pago inicial o subsecuente, o el uso continuado de los ACTIVOS TECNOLÓGICOS, constituye una manifestación de voluntad que ratifica la aceptación explícita, irrevocable e incondicional por parte de EL CLIENTE de la totalidad de las disposiciones aquí contenidas. Cualquier violación a este manual será considerada una brecha material del Contrato Marco de Servicios, activando el protocolo sancionatorio estipulado en la Sección 4.
SECCIÓN 2: PRINCIPIOS RECTORES DEL ECOSISTEMA DIGITAL
Artículo 2.1 (Principio de Legalidad Estricta): Todo uso de los ACTIVOS TECNOLÓGICOS deberá someterse irrestrictamente al marco jurídico vigente en los Estados Unidos Mexicanos.
Artículo 2.2 (Principio de Integridad Operacional de Red): EL CLIENTE se obliga a no ejecutar ninguna acción que pueda comprometer, degradar o afectar negativamente la estabilidad, rendimiento o seguridad de la red de LA CORPORACIÓN o de cualquier red interconectada.
Artículo 2.3 (Principio de Responsabilidad Fiduciaria Digital): EL CLIENTE actúa como custodio de los recursos que le son asignados y es responsable de su uso diligente y ético.
SECCIÓN 3: CATÁLOGO DE CONDUCTAS Y CONTENIDOS CATEGÓRICAMENTE PROHIBIDOS (C.C.C.P.)
La ejecución, tentativa, facilitación o conspiración para cometer cualquiera de las siguientes conductas resultará en la aplicación del Régimen Sancionatorio (Ver Sección 4).
Subsección 3.1: Infracciones contra la Normatividad Legal Vigente (Código C.C.C.P./LEG)
C.C.C.P./LEG-1.1.1: Tráfico de material de explotación sexual infantil. Clasificación: CRÍTICA. Protocolo: RSE.SAN-C.1 y RSE.REP-A.1.
C.C.C.P./LEG-1.1.2: Fraude electrónico, phishing, pharming, y cualquier modalidad de estafa tipificada.
C.C.C.P./LEG-1.1.3: Alojamiento de contenido que constituya difamación, calumnia, o que incite al odio, la violencia o la discriminación.
Subsección 3.2: Infracciones contra la Seguridad de la Infraestructura (Código C.C.C.P./SEC)
C.C.C.P./SEC-2.1.1: Intrusión no autorizada (hacking).
C.C.C.P./SEC-2.1.2: Reconocimiento de red no autorizado (escaneo de puertos). Referencia: Formulario MKT-AUT.SCAN-REQ/24.
C.C.C.P./SEC-2.1.3: Participación en ataques DoS/DDoS.
C.C.C.P./SEC-2.1.4: Operación de servicios de red inseguros (proxies abiertos, relays abiertos).
C.C.C.P./SEC-2.1.5: Falsificación de datos de encabezado (Spoofing).
Subsección 3.3: Infracciones por Uso Indebido de Recursos Sistémicos (Código C.C.C.P./RES)
C.C.C.P./RES-4.1.1: Minería de criptoactivos.
C.C.C.P./RES-4.1.2: Operación de nodos de redes de anonimización (Tor).
C.C.C.P./RES-4.1.3: Intercambio masivo de archivos (P2P) y operación de trackers de BitTorrent.
C.C.C.P./RES-4.1.4: Monopolización persistente de recursos de CPU, RAM o I/O en entornos compartidos.
C.C.C.P./RES-4.1.5: Ejecución de consultas de base de datos no optimizadas o maliciosas que degraden el rendimiento general del servidor de base de datos.
C.C.C.P./RES-4.1.6: Uso de la infraestructura como un sistema de almacenamiento masivo de archivos (ciberlocker), copias de seguridad de terceros, o como una Red de Distribución de Contenido (CDN) no autorizada explícitamente en el contrato de servicio.
C.C.C.P./RES-4.1.7: Configuración de tareas programadas (cron jobs) con una frecuencia o intensidad que afecte la estabilidad del sistema (intervalos menores a 15 minutos, salvo autorización expresa).
Subsección 3.4: Infracciones contra la Propiedad Intelectual (Código C.C.C.P./INT)
C.C.C.P./INT-5.1.1: Almacenamiento o distribución de material protegido por derechos de autor sin licencia (software "warez", multimedia, etc.).
Subsección 3.5: Infracciones contra la Reputación Corporativa (Código C.C.C.P./REP)
C.C.C.P./REP-6.1.1: Utilizar los ACTIVOS TECNOLÓGICOS para alojar contenido difamatorio contra LA CORPORACIÓN, sus empleados, socios o afiliados.
C.C.C.P./REP-6.1.2: Asociar, mediante el uso de los servicios, la marca Mikatsu con actividades ilícitas, fraudulentas o de dudosa reputación.
SECCIÓN 4: PROTOCOLO DE INVESTIGACIÓN Y RÉGIMEN SANCIONATORIO EJECUTORIO (P.I.R.S.E.)
Artículo 4.1 (Fase I - Detección y Notificación Preliminar): P.I.R.S.E./F1-DET
4.1.1: La detección de una posible infracción puede originarse por monitoreo automático, reporte de terceros o investigación interna.
4.1.2: El Departamento de Cumplimiento (DEP.COMPLIANCE) abrirá un Expediente de Incidente (EXP.INCIDENTE-AUP) asignándole un número de folio único.
4.1.3: Salvo en casos de Infracción Crítica, se emitirá una Notificación de Incumplimiento (NOTIF.INCUMP/AUP) al correo electrónico registrado de EL CLIENTE, detallando el código de la infracción y otorgando un plazo perentorio para su remediación, el cual no excederá las 24 horas.
Artículo 4.2 (Fase II - Investigación y Acopio Probatorio): P.I.R.S.E./F2-INV
4.2.1: Durante el plazo de remediación, o de forma inmediata para infracciones Graves o Críticas, DEP.COMPLIANCE procederá al acopio de evidencia digital (logs, capturas de tráfico, archivos, etc.).
4.2.2: LA CORPORACIÓN se reserva el derecho de suspender temporalmente el servicio (SUSP.PREV/AUP) para preservar la integridad de la evidencia y prevenir daños mayores, sin que esto constituya una resolución final.
Artículo 4.3 (Fase III - Dictamen y Aplicación de Sanciones): P.I.R.S.E./F3-DIC
4.3.1: Con base en la evidencia, DEP.COMPLIANCE emitirá un Dictamen Final (DICT.FINAL/AUP), clasificando la infracción y determinando la sanción aplicable conforme a la siguiente matriz:
Infracción Leve (RSE.CL-L): Si la remediación se completa satisfactoriamente dentro del plazo, se cerrará el expediente con una amonestación por escrito (AMON.ESC/AUP). La reincidencia escala la infracción a Grave.
Infracción Grave (RSE.CL-G): Se procederá a la Suspensión Inmediata y Extendida del servicio afectado. El levantamiento de la suspensión estará condicionado al pago del cargo administrativo correspondiente (Ver T.C.A.I.).
Infracción Crítica (RSE.CL-C): Se ejecutará la Terminación Definitiva e Irrevocable de todos los servicios contratados por EL CLIENTE, sin posibilidad de reactivación.
Artículo 4.4 (Fase IV - Consecuencias Económicas y Administrativas): P.I.R.S.E./F4-ECO
4.4.1 (Tarifario de Cargos Administrativos por Incidente - T.C.A.I.): La gestión de cualquier incidente clasificado como Grave o Crítico generará un cargo administrativo no reembolsable:
T.C.A.I./NIVEL-1 (Infracción Grave): $3,500.00 MXN más I.V.A.
T.C.A.I./NIVEL-2 (Infracción Crítica): $5,000.00 MXN más I.V.A.
4.4.2 (Anulación de Reembolso): Conforme a la cláusula FIN.7.4 del Contrato Marco de Servicios, la terminación por violación de esta AUP anula cualquier derecho a reembolso por periodos de servicio no devengados.
Artículo 4.5 (Fase V - Derecho de Apelación Restringido): P.I.R.S.E./F5-APE
4.5.1: EL CLIENTE podrá interponer un recurso de apelación al Dictamen Final únicamente para infracciones clasificadas como Graves, dentro de un plazo no mayor a 48 horas hábiles desde la notificación del dictamen.
4.5.2: El recurso deberá presentarse por escrito a través del portal de cliente, bajo el formulario FORM.APELACION/AUP, y deberá incluir nueva evidencia probatoria que no haya sido considerada en la investigación inicial. No se admitirán apelaciones basadas en desconocimiento de la política.
4.5.3: La resolución del Comité de Apelaciones de LA CORPORACIÓN será final e inapelable.
SECCIÓN 5: DEBERES Y OBLIGACIONES DEL CLIENTE (D.O.C.)
Artículo 5.1 (Deber de Diligencia en Seguridad - D.O.C./SEC-1): EL CLIENTE es responsable de la custodia de sus credenciales y de la seguridad de su servicio.
Artículo 5.2 (Deber de Mantenimiento Proactivo - D.O.C./MNT-1): EL CLIENTE tiene la obligación de mantener actualizado todo el software de terceros instalado en su servicio.
Artículo 5.3 (Deber de Cooperación - D.O.C./COOP-1): EL CLIENTE se obliga a cooperar plenamente con DEP.COMPLIANCE durante cualquier investigación, proporcionando la información que le sea razonablemente solicitada.
SECCIÓN 6: DISPOSICIONES FINALES
Artículo 6.1 (Potestad Modificatoria): LA CORPORACIÓN se reserva la potestad unilateral de modificar, adicionar o derogar cláusulas del presente manual.