Alerce GRC
La plataforma GRC construida para la regulación chilena

Tu programa GRC.
Listo para auditoría.

Alerce GRC centraliza riesgos, privacidad, ciberseguridad y cumplimiento en una única plataforma. 10 alertas regulatorias automáticas, 35+ módulos, diseñada para las leyes chilenas y lista para certificación ISO 27001.

Ley 21.663 — Ciberseguridad Ley 21.719 — Protección de Datos ISO 27001:2022 NIST CSF 2.0 CMF Circular 57 GDPR
Solicitar acceso Community Ver planes
35+
Módulos GRC
7
Marcos normativos
10
Alertas automáticas
12
Capas de seguridad
100%
Datos en Chile
Ciberseguridad Nacional
ANCI — Notificación CSIRT ≤3h
Protección de Datos
APDP — Notificación brechas 72h
Delitos Económicos
Modelo de prevención — Art. 3 y 4
Seguridad de la Información
93 controles Anexo A — SoA
Cybersecurity Framework 2.0
IDENTIFY · PROTECT · DETECT · RESPOND · RECOVER
Regulación Financiera
CMF Circular 57 — Sector financiero
¿Por qué Alerce GRC?

Construido para el contexto regulatorio chileno

No es un producto extranjero adaptado. Es una plataforma diseñada desde cero para los plazos, organismos y obligaciones de la legislación chilena.

01

Plazos legales integrados

Contadores ≤3h para notificaciones CSIRT (Ley 21.663) y 72h para brechas ante la APDP (Ley 21.719) visibles en tiempo real. Sin hojas de cálculo, sin confusión.

02

Trazabilidad completa

Cada obligación normativa está vinculada a sus controles, evidencias y responsables. El Grafo Normativo te muestra la cadena completa: Ley → Artículo → Control → Evidencia.

03

Listo para auditoría

La Simulación de Auditoría hace un snapshot del estado de tus controles y genera un reporte PDF listo para presentar. La cadena de custodia HMAC-SHA256 hace tus evidencias legalmente defendibles.

04

Seguridad de nivel enterprise

AES-256-GCM para campos sensibles, audit log hash-chain inmutable, RBAC deny-by-default, MFA TOTP y 20+ security headers. La plataforma que gestiona tu cumplimiento debe cumplir ella misma.

05

Un equipo, todos los módulos

DPO, CISO, Compliance Officer y Directorio en la misma plataforma. Sin datos en silos, sin reportes duplicados, sin herramientas fragmentadas.

06

Evoluciona con la regulación

Los marcos normativos se actualizan en la plataforma. Cuando la ANCI emita instrucciones o la APDP publique reglamentos, Alerce GRC los incorpora sin que tu equipo tenga que reconfigurar nada.

07

Alertas que actúan por ti

10 alertas regulatorias predefinidas monitorean incidentes, brechas, riesgos y plazos ARCO+ en segundo plano. Email + notificación in-app al instante — sin que nadie tenga que mirar un dashboard.

Módulos

Una plataforma. Todo el cumplimiento.

Desde la gestión de riesgos hasta la cadena de custodia forense — 44+ módulos para que tu organización cumpla y pueda demostrarlo.

⚠️

Gestión de Riesgos

Matriz 5×5 configurable, metodologías NIST/ISO 31000/Ley 21.663. Planes de tratamiento con propietario y seguimiento.

Community · Pro · Enterprise
🚨

Gestión de Incidentes

Registro con contador CSIRT ≤3h (Ley 21.663 Art.23), timeline inmutable, clasificación por severidad y reporte regulatorio automático.

Community · Pro · Enterprise

Controles de Seguridad

Biblioteca de controles configurable, evidencias adjuntadas, seguimiento de implementación y madurez CMMI por control.

Community · Pro · Enterprise
🗂️

RoPA — Registro de Tratamiento

Registro de Actividades de Tratamiento conforme Ley 21.719 Art.45 y GDPR Art.30. Categorías de datos, bases legales y exportación.

Community · Pro · Enterprise
👤

Portal ARCO+

Solicitudes de titulares (acceso, rectificación, cancelación, oposición, portabilidad) con plazo legal 30 días y seguimiento por estado.

Community · Pro · Enterprise
🏛️

Activos y Servicios

Inventario de activos de información, clasificación de criticidad y vinculación directa con riesgos e incidentes. Esencial para OIV.

Community · Pro · Enterprise
🏗️

Infraestructura Crítica

Declaración y catastro de IC por las 9 categorías reglamentarias del Art. 34 Ley 21.663. Vista agrupada por categoría para inspecciones ANCI.

Community · Pro · Enterprise
🗄️

Evidencias

Repositorio central de evidencias con integridad SHA-256 verificable. Vinculación a controles, riesgos, auditorías e incidentes.

Community · Pro · Enterprise
📖

Glosario Técnico

80+ términos GRC, ciberseguridad y privacidad en español e inglés. Cubre ISO/IEC 27000, NIST, Ley 21.719, Ley 21.663. Búsqueda y filtro por categoría.

Community · Pro · Enterprise
🔔

Brechas de Seguridad

Gestión con contador 72h para notificación a la APDP (Ley 21.719 Art.48). Plantillas regulatorias y registro histórico auditado.

Pro · Enterprise
🔍

DPIA / EIPD

Evaluaciones de Impacto de Privacidad vinculadas al RoPA. Plantillas para tratamientos de alto riesgo con scoring automático.

Pro · Enterprise
🌐

Transferencias Internacionales

Registro de flujos transfronterizos de datos personales. Evaluación de adecuación del país receptor y mecanismos de garantía.

Pro · Enterprise
✍️

Consentimientos

Modelo granular por finalidad con revocación individual. Registro del aviso de privacidad presentado al titular al captar consentimiento (Art. 20 Ley 21.719).

Pro · Enterprise
🤝

Encargados de Tratamiento

Gestión de DPAs con proveedores, seguimiento de cláusulas de seguridad y evaluación periódica de terceros que procesan datos.

Pro · Enterprise
🔁

Acuerdos de Cesión de Datos

Registro y ciclo de vida de cesiones a terceros (Art. 17 Ley 21.719). Código secuencial CES-{año}-{seq}, estados DRAFT→ACTIVE→EXPIRED→REVOKED.

Pro · Enterprise
🛡️

Modelo de Prevención de Delitos

Modelo de prevención de delitos económicos (Ley 21.595 Art. 3-4). Ciclo de vida completo: borrador, revisión, presentación y certificación.

Pro · Enterprise
📋

Auditorías Internas

Planificación, hallazgos y cierre conforme ISO 27001 Clause 9.2. Seguimiento de planes de acción correctiva y preventiva.

Pro · Enterprise
🔄

Continuidad de Negocio (BCP)

Planes BCP/DRP con RTO, RPO y MTPD configurables. Análisis de Impacto al Negocio (BIA) y ejercicios de simulacro.

Pro · Enterprise
🐞

Vulnerabilidades

Gestión del ciclo de vida de vulnerabilidades: descubrimiento, priorización CVSS, remediación y verificación. Integración con scanners.

Pro · Enterprise
📄

Statement of Applicability (SoA)

Declaración de Aplicabilidad ISO 27001 autogenerada a partir del estado de tus controles. Exportable en PDF para auditorías.

Pro · Enterprise
⚖️

Calculadora de Sanciones

Estimación de multas en UTM bajo Ley 21.663 y Ley 21.719. Herramienta de análisis para priorizar inversiones en cumplimiento.

Pro · Enterprise
🏢

Evaluación de Proveedores

Cuestionarios de seguridad a terceros, scoring de riesgo proveedor, registro de hallazgos y plan de mejora con seguimiento.

Pro · Enterprise
📚

Políticas de Seguridad

Biblioteca de políticas con ciclo de vida completo: borrador, revisión, aprobación y vencimiento. Registro de aceptación por usuarios.

Pro · Enterprise
📰

Políticas de Privacidad

Versionado público de políticas de privacidad con historial de publicación. Cumplimiento de obligaciones de información al titular (Art. 14 Ley 21.719).

Pro · Enterprise
📊

Mapeo Regulatorio

Mapa de obligaciones por marco normativo. Asignación de controles a requisitos con estado de cumplimiento en tiempo real.

Pro · Enterprise
📈

Reporte APDP

Generación de reportes estructurados para la Agencia de Protección de Datos Personales. Formatos conforme a instrucciones regulatorias.

Pro · Enterprise
🔔

Motor de Alertas Regulatorias

10 alertas predefinidas cubren incidentes, brechas, DSR, riesgos, vulnerabilidades y auditorías. Notificaciones email + in-app con suscripciones por usuario o por rol.

Pro · Enterprise
🔗

Grafo Normativo

Visualización interactiva Ley→Artículo→Obligación→Control→Evidencia. Entiende de un vistazo qué cubre y qué falta en tu programa.

Enterprise
🧪

Simulación de Auditoría

Snapshot inmutable del estado de controles, scoring ponderado por sección ISO y exportación PDF de informe final. Prepara certificaciones.

Enterprise
🕵️

DFIR / Análisis Forense

Timeline forense de eventos, análisis de impacto regulatorio calculado automáticamente y cadena de custodia con integridad HMAC-SHA256.

Enterprise
📅

Revisión Bienal ANCI

Planificación y seguimiento del ciclo bienal de revisión ante la ANCI para Operadores de Importancia Vital (OIV). Recordatorios automáticos.

Enterprise
☁️

Cloud Connectors

Integración con AWS Security Hub, GitHub Advanced Security y Google Workspace para recolección automática de evidencias y hallazgos.

Enterprise
📉

Benchmarking Sectorial

Compara tu postura de seguridad con el P25–P75–P90 de organizaciones similares. Identificación de brechas priorizadas por impacto.

Enterprise
🏦

CMF Circular 57

Módulo especializado para entidades reguladas por la CMF — bancos, corredoras, aseguradoras. 43 requisitos mapeados a controles ISO 27001.

Enterprise
🎯

Pentests

Registro y seguimiento de pruebas de penetración. Hallazgos vinculados a activos y vulnerabilidades con plan de remediación y cierre verificado.

Enterprise
Motor de Alertas

Tu centinela regulatorio 24/7

10 alertas predefinidas monitorean cada obligación legal de forma continua. Cuando algo requiere atención — un plazo CSIRT, una brecha sin notificar, un riesgo sin revisar — el equipo correcto recibe la alerta al instante, sin configuración manual.

🚨 Incidentes
Incidente crítico registrado
Notificación CSIRT ≤3h (Ley 21.663)
Inmediata CRÍTICO
Incidente alta severidad
SLA respuesta 24h
Inmediata ALTO
Incidente abierto >72h
Sin resolución en más de 3 días
Programada ALTO
🔔 Brechas de Datos Personales
Nueva brecha registrada
Ventana APDP 72h activada (Ley 21.719)
Inmediata CRÍTICO
Plazo notificación APDP <24h
Menos de 24h para notificar a la APDP
Programada ALTO
👤 Solicitudes ARCO+
Solicitud ARCO+ vencida
Superó el plazo legal de 30 días
Programada ALTO
Solicitud ARCO+ próxima a vencer
Menos de 48h para responder
Programada MEDIO
⚠️ Riesgos
Nuevo riesgo alto o crítico
SLA revisión 48h
Inmediata ALTO
Riesgo sin revisión >90 días
Riesgo activo que no ha sido revisado
Programada MEDIO
🐞 Vulnerabilidades
Vulnerabilidad crítica detectada
SLA remediación 24h
Inmediata CRÍTICO
Vulnerabilidad sin parchear >30 días
Alta o crítica sin remediar
Programada ALTO
📋 Cumplimiento y Auditorías
Brecha de cumplimiento detectada
Mapeo regulatorio con estado NO_CUMPLE
Programada MEDIO
Auditoría con hallazgos críticos
Auditoría cerrada con resultado FAIL
Inmediata ALTO
📧
Email automático
Plantillas HTML con severidad, SLA y enlace directo al recurso afectado. Enviadas al instante vía SMTP configurado.
🔔
Notificaciones in-app
Centro de notificaciones en tiempo real. Sin salir de la plataforma, cada usuario ve sus alertas pendientes.
👥
Suscripciones por rol
El DPO recibe alertas de privacidad, el CISO las de ciberseguridad — configurado una vez, funciona para todos.
Escaneo cron continuo
Motor de fondo revisa vencimientos de DSR, brechas, riesgos y vulnerabilidades. Sin intervención humana.
Planes

El plan adecuado para tu organización

Desde organizaciones que están comenzando su programa GRC hasta OIV con requerimientos de cumplimiento complejos y auditados.

Community Edition
Gratis
con invitación
Para equipos que están comenzando su programa GRC o quieren evaluar la plataforma. Acceso por solicitud aprobada.
  • Hasta 5 usuarios
  • Gestión de riesgos (matriz 5×5)
  • Gestión de incidentes + CSIRT ≤3h
  • Activos + Infraestructura Crítica (OIV)
  • RoPA + Portal ARCO+
  • Controles ISO 27001 + Evidencias
  • Dashboard KPIs
  • Glosario técnico GRC/CS/privacidad
  • Autohospedado o cloud
  • Brechas, DPIA, Consentimientos
  • BCP, Vulnerabilidades, Auditorías
  • Grafo normativo, DFIR, Simulación
Solicitar invitación
Más elegido
Pro
Contactar
Para organizaciones que necesitan cumplimiento completo con Ley 21.663, Ley 21.719, Ley 21.595 e ISO 27001.
  • Todo lo de Community
  • Usuarios ilimitados
  • Brechas (notif. 72h APDP)
  • DPIA + Transferencias internacionales
  • Consentimientos granulares + Cesiones
  • Encargados de tratamiento (DPA)
  • Modelo prevención Delitos Económicos (Ley 21.595)
  • SoA + Auditorías internas + BCP/DRP
  • Vulnerabilidades + Proveedores
  • Políticas seguridad y privacidad
  • Calculadora sanciones UTM + SMTP UI
  • Motor de alertas (13 códigos) + email
  • Soporte prioritario 48h
Hablar con ventas
Enterprise
Contactar
Para OIV, sector financiero (CMF Circular 57) y organizaciones que buscan certificación ISO 27001 o auditorías formales.
  • Todo lo de Pro
  • Grafo normativo interactivo
  • Simulación de auditoría + snapshot
  • DFIR / Cadena de custodia forense
  • Revisión bienal ANCI (OIV)
  • Benchmarking sectorial P25–P90
  • Cloud Connectors (AWS, GitHub, Google)
  • CMF Circular 57 (sector financiero)
  • Pentests — registro y seguimiento
  • SSO / SAML / LDAP corporativo
  • Cifrado PII campos sensibles
  • SLA garantizado + soporte 24/7
  • Consultor GRC dedicado
Contactar ventas
Normativas

Cumplimiento normativo integrado

Alerce GRC no requiere configuración manual de marcos normativos — vienen incorporados, actualizados y vinculados a controles accionables.

  • LEY 21.663
    Ley Marco de Ciberseguridad
    Incidentes con notificación CSIRT ≤3h, activos y servicios esenciales (OIV), BCP/DRP, revisión bienal ANCI y envío electrónico.
  • LEY 21.719
    Protección de Datos Personales
    RoPA Art.45, portal ARCO+, DPIA, notificación de brechas 72h a APDP, consentimientos, retención, transferencias internacionales y encargados.
  • LEY 21.595
    Ley de Delitos Económicos
    Modelo de prevención de delitos económicos Art. 3-4, gestión del ciclo de vida del modelo, estados DRAFT→CERTIFIED, auditoría de cumplimiento.
  • ISO 27001
    Seguridad de la Información 2022
    93 controles Anexo A pre-cargados, SoA autogenerada, auditorías Clause 9.2, revisiones de dirección y simulación de auditoría.
  • NIST CSF 2.0
    Cybersecurity Framework
    Cobertura GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND, RECOVER con métricas de madurez CMMI y benchmarking.
  • CMF Circ. 57
    Regulación Financiera CMF
    Módulo específico para entidades reguladas por la CMF. Gestión de incidentes operacionales y ciberseguridad del sector financiero.
  • GDPR
    Reglamento Europeo de Datos
    Para organizaciones con operaciones internacionales. Compatible con GDPR Art.30, Art.33, Art.35. Transferencias a terceros países.

Cobertura normativa en tiempo real

ISO 27001:202293 controles
Ley 21.663 — CiberseguridadCobertura total
Ley 21.719 — Datos PersonalesCobertura total
Ley 21.595 — Delitos EconómicosMódulo dedicado
NIST CSF 2.06 funciones
GDPRArt.30/33/35

Madurez de controles (CMMI)

Nivel 1 — Inicial ↑ Alerce GRC acelera la evolución
INICIAL
GESTIONADO
DEFINIDO
CUANT.
OPTIM.
Mide y visualiza en qué nivel CMMI está cada control. Identifica dónde invertir para avanzar.

Motor de alertas — 13 códigos activos

Incidente crítico / alta severidad ● Inmediata
Incidente abierto >72h sin resolver ◔ Cron
Brecha nueva / plazo APDP <24h ● Inmediata + Cron
ARCO+ vencida / próxima a vencer ◔ Cron
Riesgo alto nuevo / sin revisar 90d ● Inmediata + Cron
Vulnerabilidad crítica / sin parchear 30d ● Inmediata + Cron
Brecha cumplimiento / auditoría FAIL ● / ◔
Email + in-app · Suscripciones por usuario o rol · Sin configuración manual
Seguridad & Arquitectura

Construido con seguridad de nivel enterprise

Alerce GRC es auditado con los mismos estándares que exige a sus clientes. Cada capa está documentada, testeable y verificable.

🔒

Cifrado AES-256-GCM en campos PII

Campos sensibles (email del titular, RUT, datos de contacto, notificaciones de brecha) cifrados en reposo mediante Prisma middleware transparente. IV aleatorio por registro. Soporte de rotación de clave con FIELD_ENCRYPTION_KEY_PREV sin downtime.

🔗

Audit Log HMAC-SHA256 con cadena

Cada evento incluye prevEntryId y firma HMAC-SHA256 sobre el canon JSON. Cualquier modificación retroactiva rompe la cadena. Checkpoint diario automático. Diff estructural por campo en operaciones de escritura.

🛡️

RBAC Deny-by-Default + matriz explícita

5 roles (AUDITOR, DPO, CISO, GOVERNANCE, ADMIN) con matriz de permisos explícita por método HTTP y ruta. Toda acción no definida retorna HTTP 403 con detalle del rol y permiso requerido. Sin herencia implícita.

🔑

MFA TOTP + SSO empresarial

TOTP compatible con Google Authenticator y Aegis — obligatorio para roles privilegiados. SSO/SAML 2.0 disponible con Microsoft Entra ID, Google Workspace y Okta. Enforcement de dominio por tenant, secreto del IdP cifrado en BD.

🚦

Rate Limiting Redis — lockout progresivo

Ventana deslizante Redis-backed (rate-limiter-flexible). Lockout progresivo por IP: 1er bloqueo 5 min → 2do 15 min → 3er 30 min → 4to+ 60 min. Headers RFC 6585 completos: X-RateLimit-Limit, X-RateLimit-Remaining, X-RateLimit-Reset, Retry-After.

🦠

Antivirus ClamAV vía INSTREAM

Daemon clamd integrado como servicio Docker separado. Cada archivo subido (evidencias, contratos, anexos) pasa por escaneo INSTREAM antes de almacenarse. Cuarentena automática en positivos. Disponible en Pro.

📋

CSP nonce-based + 20 headers

Content-Security-Policy con nonce criptográfico por request — elimina unsafe-inline en producción. HSTS 2 años, COOP same-origin, CORP, COEP, Permissions-Policy sin cámara/mic/geolocalización. Cumple OWASP ASVS Level 2.

📜

Consentimiento auditable (Ley 21.719)

Pantalla pre-login con 3 consentimientos obligatorios (T&C, Privacidad, tratamiento operacional) y 2 opcionales (analítica, comunicaciones). Cada aceptación se registra con IP, user-agent, timestamp y versión del documento — registro inmutable con trigger de BD.

☁️

Almacenamiento multi-region

Adaptador dinámico: filesystem local, Amazon S3 o Azure Blob Storage — seleccionable en runtime sin rebuild. Presigned URLs con TTL configurable. Metadatos de archivo cifrados en BD. Datos pueden mantenerse 100% en Chile.

📊

Telemetría anónima opt-in

Métricas de uso anonimizadas enviadas a infraestructura Cloudflare Workers + D1 SQLite en edge. HMAC-SHA256 por tenant. Identificadores en hash SHA-256 irreversible. El tenant puede desactivar en cualquier momento desde configuración.

📧

SMTP dinámico cifrado en BD

Configuración de correo saliente desde la UI sin reiniciar la app. Contraseña SMTP almacenada con AES-256-GCM. Soporta TLS/STARTTLS. Variables de entorno como fallback para instancias sin BD accesible.

🔐

Secrets management hardened

Secrets de runtime como variables de entorno inyectadas — nunca en imagen Docker ni repositorio git. Claves de Cloudflare Workers como encrypted secrets del platform. AUTH_SECRET solo como ARG de build, nunca en capas de imagen.

Roles y Acceso

El rol correcto para cada persona

RBAC granular con cinco roles diseñados para la estructura real de un equipo GRC chileno. Cada rol tiene acceso exacto a lo que necesita.

⚙️
Admin
Administrador
Acceso total. Gestión de usuarios, configuración del sistema, exportación de auditorías y ajuste de plan.
🔏
DPO
Data Protection Officer
RoPA, ARCO+, consentimientos, DPIA, brechas, encargados, transferencias y revisiones de dirección de privacidad.
🛡️
CISO
Chief Info. Security Officer
Incidentes, riesgos, BCP, controles ISO 27001, activos, vulnerabilidades, auditorías internas y DFIR.
📊
Governance
Analista GRC
Crea y actualiza registros en todos los módulos. Sin acceso a eliminación ni exportación masiva de datos.
👁️
Auditor
Fiscalizador / Solo lectura
Dashboard, informes y evidencias en modo lectura. Ideal para Directorio, auditores externos y reguladores.
Empezar hoy

Tu organización necesita cumplir.
Nosotros te ayudamos.

Solicita acceso a la Community Edition sin costo o agenda una demo personalizada para ver cómo Alerce GRC se adapta a tu organización, industria y nivel de madurez GRC.

Solicitar acceso CE Agendar demo Pro / Enterprise