CONFIDENCIAL Paquete de Due Diligence · Banco Sponsor Agregador · Uso exclusivo del proceso de afiliación
Fintrixs · DD

Appearance

07.1 — PLAN DE CONTINUIDAD DEL NEGOCIO (BCP)

Código: BCM-001 Versión: 1.0 — 16 de abril de 2026 Aprobado por: Representante Legal Vigencia: 24 meses (revisión anual + pruebas semestrales) Referencia normativa: ISO 22301:2019 (adopción parcial), NIST SP 800-34, Circular SFC 007/2018

Soporta las preguntas P18 y P19 del DD Agregadores (continuidad del servicio) y los ítems BCM del DD de Tesorería.

1. Objetivo

Garantizar la continuidad de los servicios críticos de Fintrixs Pay ante eventos disruptivos (fallas tecnológicas, ciber-ataques, indisponibilidad de proveedores, eventos físicos) minimizando el impacto en los clientes, subcomercios y contrapartes financieras.

2. Alcance

Aplica a:

  • Servicios transaccionales de payments-api y tokenization-service.
  • Servicios adyacentes críticos: auth-service, card-vault-service, webhooks-service.
  • Servicios de soporte: admin-audit-service, realtime-gateway.
  • Integraciones externas: Credibanco (adquirencia/3DS), proveedores cloud (AWS), Kafka, bases de datos.
  • Recursos humanos clave (plan de sucesión).

3. Análisis de impacto al negocio (BIA)

3.1. Clasificación de procesos críticos

ProcesoTierRTORPOImpacto de indisponibilidad
Procesamiento transaccional (autorización)T0≤ 1 h≤ 5 minPérdida de ingresos + sanción contractual
Tokenización / DetokenizaciónT0≤ 1 h≤ 5 minBloqueo de pagos
Autenticación 3DS 2.2T0≤ 2 h≤ 15 minIncremento de fraude / rechazos
Reconciliación y liquidaciónT1≤ 4 h≤ 30 minRetraso en payout a subcomercios
Webhooks y notificacionesT1≤ 4 h≤ 15 minDesalineación con subcomercios
Onboarding / KYBT2≤ 24 h≤ 1 hRetraso en altas
Portal administrativoT2≤ 8 h≤ 1 hDegradación operativa interna
Reporting regulatorioT2≤ 24 h≤ 1 hImpacto regulatorio si sostenido

3.2. Umbrales regulatorios

  • Reporte a SFC por indisponibilidad: inmediato si supera 60 minutos continuos (Circular 007).
  • Reporte a SIC por incidente con afectación de datos: 15 días hábiles (Ley 1581).
  • Aviso a banco sponsor: dentro de la primera hora con escalamiento al siguiente nivel cada 30 minutos.

4. Estrategias de continuidad

4.1. Alta disponibilidad (HA)

  • Despliegue multi-AZ en AWS us-east-1 (zonas a, b, c).
  • Load balancers (ALB + NLB) con health checks y failover automático.
  • Kafka (MSK) con tres brokers, replication factor ≥ 3.
  • PostgreSQL RDS con réplica de lectura síncrona multi-AZ.
  • Frontend distribuido en CloudFront con caching multi-edge.

4.2. Disaster recovery (DR)

  • Región DR: AWS us-west-2 (estrategia warm standby).
  • Replicación asíncrona de PostgreSQL (lag ≤ 30 s).
  • Snapshots diarios con cross-region copy.
  • Backups lógicos (pg_dump) diarios + backups transaccionales (WAL archiving).
  • Imágenes de contenedor en ECR multi-región.
  • IaC (Terraform) permite reconstrucción completa en DR.

4.3. Estrategia 3-2-1 de backups

  • 3 copias de los datos críticos.
  • 2 tipos de medios distintos (RDS snapshots + almacenamiento S3 con Object Lock).
  • 1 copia off-site (cross-region).
  • Pruebas mensuales de restauración en entorno aislado.

4.4. Proveedores críticos

ProveedorMitigación
AWSMulti-AZ + DR multi-región; plan de reversibilidad a otro IaaS (Azure/GCP)
CredibancoComunicación dedicada + contingencia vía canal alterno a Visa
Kafka (MSK)Consumidor con buffer local + reintento con backoff
Proveedor DNSDNS secundario configurado
KMS (AWS)Llaves replicadas cross-region

5. Plan de recuperación ante desastres (DRP)

5.1. Escenarios cubiertos

  • E1: Indisponibilidad de una AZ — failover automático.
  • E2: Indisponibilidad de toda la región primaria — failover manual a DR en ≤ 4 h.
  • E3: Compromiso de datos / ransomware — aislamiento + restauración desde backup limpio.
  • E4: Falla total de proveedor cloud — ejecución del plan de reversibilidad.
  • E5: Falla de Credibanco — transacciones en cola + notificación masiva a subcomercios.

5.2. Procedimiento (escenario E2)

  1. Detección por monitoreo (CloudWatch + alertas multi-canal).
  2. Activación del DR Manager por parte del Comité de Crisis.
  3. Declaración formal de desastre; activación de runbook RUN-DR-001.
  4. Promoción de réplicas en región DR (RDS, S3, MSK).
  5. Actualización de DNS hacia endpoints DR (Route53 health checks).
  6. Validación de servicios críticos (smoke tests).
  7. Comunicación a usuarios, subcomercios, banco sponsor, SFC.
  8. Operación en DR hasta restauración de la región primaria.
  9. Failback planificado (fuera de ventana transaccional).
  10. Post-mortem obligatorio y actualización del plan.

6. Comité de Crisis

RolResponsableSuplente
Líder de CrisisRepresentante LegalCTO
Comunicación externaAsesor LegalRepresentante Legal
TécnicoCTOLíder de DevOps
OperacionesLíder de OperacionesCoordinador SRE
CumplimientoAsesor de CumplimientoAsesor Legal
  • Reunión inicial dentro de los 15 minutos posteriores a la declaración.
  • Centro de Comando Virtual (WarRoom en Slack + conferencia).
  • Bitácora obligatoria con timestamps y decisiones.

7. Comunicación

7.1. Internos

  • Canales de Slack dedicados (#incident-response, #war-room).
  • Llamadas telefónicas al Comité de Crisis.
  • Escalamiento automático vía PagerDuty / Opsgenie.

7.2. Externos

  • Subcomercios: banner en dashboard + email + webhook status.
  • Clientes finales: status page pública (status.fintrixs.com).
  • Banco sponsor: notificación formal por canal acordado contractualmente.
  • Regulador: cuando aplique, vía canal oficial.
  • Prensa / opinión pública: vocería centralizada en el Representante Legal.

8. Pruebas del plan

8.1. Cronograma

Tipo de pruebaFrecuenciaAlcance
TabletopTrimestralValidación procedimental con stakeholders
Simulacro técnico (failover AZ)SemestralEjecución real sin impacto al usuario
Simulacro DR (región completa)AnualFailover completo a región DR
Prueba de restore de backupsMensualValidación de integridad

8.2. Métricas de éxito

  • RTO alcanzado ≤ meta definida.
  • RPO observado ≤ meta definida.
  • Cero pérdida de datos críticos.
  • Comunicación completa a stakeholders en ≤ 30 minutos.
  • Post-mortem dentro de los 5 días hábiles.

9. Plan de sucesión (continuidad de personal)

  • Documentación de runbooks y procedimientos críticos.
  • Redundancia mínima 2x en roles clave (no hay "bus factor = 1").
  • Cross-training entre áreas.
  • Consultores externos en retainer para capacidades específicas.
  • Manuales de emergencia que permitan operación asistida por un tercero.

10. Estado de madurez al corte del DD

ElementoEstado
BCP documentadoSÍ (este documento)
BIA con RTO/RPO
DR en región secundariaEn preparación (target: T+3 meses desde go-live)
Backups 3-2-1
Pruebas de restoreSÍ, mensuales desde 2025
Simulacro DR completoPENDIENTE (programado Q3 2026)
Tabletop exerciseSÍ, trimestral
Plan de sucesiónParcial (pendiente depth ≥ 2 en algunos roles)

11. Brechas y plan de cierre

BrechaCriticidadRemediaciónPlazo
Simulacro DR completo aún no ejecutadoMediaEjecución programadaQ3 2026
Certificación ISO 22301BajaExploración tras estabilización operativa2027
Redundancia de personal 2x en SREMediaContratación en cursoQ2 2026

12. Revisión y aprobación

  • Revisión anual obligatoria.
  • Revisión extraordinaria tras:
    • Cambio material de arquitectura.
    • Incidente disruptivo.
    • Cambio regulatorio.
    • Cambio en proveedores críticos.
  • Aprobación del Representante Legal y del Comité de Riesgos.

Paquete confidencial · Uso exclusivo del proceso de Due Diligence con el Banco Sponsor Agregador.

Copyright © 2026 Fintrixs S.A.S. · NIT 901.994.194-3 · Todos los derechos reservados.