Sección 01
Resumen Ejecutivo
Nexbyte presenta la siguiente propuesta de servicios para la aplicación Locus Credit Base 2026. El trabajo está organizado en cuatro módulos que abordan de forma completa los riesgos de seguridad encontrados, los requerimientos legales obligatorios y las mejoras necesarias en el manejo de la información.
4
módulos de trabajo
6
semanas de entrega
$ 3.360.000
COP inversión total
IVA excluido
Art. 476 Estatuto Tributario
Tras una revisión completa de la aplicación Locus Credit Base 2026, se identificaron riesgos de seguridad que exponen la información de sus solicitantes, incumplimientos con la legislación colombiana de protección de datos, y oportunidades de mejora en el manejo y organización de la información que hoy limitan el crecimiento de la plataforma. Los módulos propuestos eliminan esta exposición de forma ordenada, con entregables concretos y verificables en cada etapa.
Sección 02
Análisis de Seguridad
Se realizó una revisión integral de la aplicación para identificar riesgos que puedan afectar la información de sus solicitantes, generar costos no autorizados o exponer a la entidad a sanciones. A continuación se presentan los hallazgos, organizados por nivel de riesgo.
Vulnerabilidades identificadas
Crítico
La clave del servicio de análisis inteligente es visible para cualquier persona en internet
Cualquier persona que visite la aplicación puede obtener esta clave y usar el servicio de análisis de riesgo a nombre de la entidad, generando costos económicos no autorizados y exponiendo información confidencial.
Crítico
La información de todos los solicitantes está expuesta sin ninguna protección de acceso
Actualmente cualquier persona con conocimientos básicos puede acceder, consultar o modificar la información financiera y personal de todos los solicitantes registrados en el sistema.
Crítico
Cualquier persona puede ingresar al sistema sin usuario ni contraseña
No existe un mecanismo de acceso restringido para los funcionarios. Quien conozca la dirección web del sistema puede operarlo libremente y alterar la información de los solicitantes.
Alto
Datos personales reales de personas están almacenados de forma inadecuada en el sistema
Durante el desarrollo se usaron cédulas y datos de contacto reales que quedaron guardados en el sistema y son accesibles desde internet, lo que constituye una exposición directa de datos personales.
Alto
No hay verificación de que la información ingresada sea correcta antes de guardarla
El sistema acepta y almacena cualquier dato sin validar su formato ni coherencia, lo que puede generar registros incorrectos o incompletos que afecten el análisis de riesgo.
Alto
El sistema carece de protecciones básicas contra accesos maliciosos desde internet
Faltan configuraciones estándar de seguridad en el servidor que prevengan que terceros puedan suplantar la aplicación, insertar contenido falso o redirigir a los usuarios a sitios fraudulentos.
Sección 03
Cumplimiento Legal
La aplicación recopila datos personales y financieros de ciudadanos colombianos sin implementar los requisitos mínimos exigidos por la ley. Los incumplimientos identificados generan exposición a sanciones de hasta 2.000 SMMLV por parte de la Superintendencia de Industria y Comercio.
| Norma | Artículo | Descripción del incumplimiento | Severidad |
|---|---|---|---|
| Ley 1581/2012 | Art. 9 | No se obtiene autorización previa del titular antes de recopilar sus datos | Crítico |
| Ley 1581/2012 | Art. 13 | Sin mecanismo para ejercicio de derechos (acceso, corrección, supresión) | Alto |
| Ley 1581/2012 | Art. 26 | Datos del solicitante se transfieren a servidores internacionales sin autorización | Crítico |
| Decreto 1377/2013 | Art. 3 | Sin política de privacidad publicada con identificación del responsable | Alto |
| Decreto 886/2014 | Arts. 3–5 | Base de datos no registrada ante la SIC (RNBD) | Alto |
| Ley 1266/2008 | Art. 5 | Uso de evaluación psicológica sin sustento legal como criterio crediticio | Alto |
Sanción máxima: hasta 2.000 SMMLV (~$2.700 millones COP) por violación a la Ley 1581 de Protección de Datos Personales. La implementación de los módulos propuestos elimina esta exposición y deja a la entidad en situación de cumplimiento pleno ante la Superintendencia de Industria y Comercio.
Sección 04
Gestión de la Información
La forma en que actualmente se almacena la información de los solicitantes dificulta obtener reportes, consultar históricos y garantizar que los datos sean consistentes. Se propone reorganizar esta información para que la plataforma pueda crecer y responder a las necesidades del negocio.
⚠ Esquema Actual
La información se guarda de forma desordenada, mezclada en un solo bloque sin estructura
No hay mecanismos que eviten guardar información inconsistente o duplicada
Un mismo solicitante no puede tener más de una solicitud de crédito registrada
Los montos y fechas se guardan como texto libre, sin validación de formato
Las preguntas del test se repiten completas en cada evaluación, desperdiciando espacio
Generar reportes o consultar el historial de un solicitante es muy difícil y lento
✓ Esquema Propuesto
Información organizada en secciones claras, bien definidas y fáciles de mantener
El sistema garantiza que no se pueda guardar información incompleta o contradictoria
Un solicitante puede tener múltiples solicitudes con historial completo de cada una
Los montos y fechas se guardan con su formato correcto, evitando errores en los cálculos
Las preguntas del test se administran de forma centralizada y eficiente
Reportes y consultas históricas rápidas, confiables y fáciles de obtener
Sección 05
Propuesta Comercial
Servicio excluido de IVA conforme al numeral 17 del Artículo 476 del Estatuto Tributario colombiano. El contrato debe estructurarse como prestación de servicios de desarrollo de software a la medida.
Módulo 01
Seguridad Crítica
Entregables
- Canal seguro y privado para el servicio de análisis inteligente
- Sistema de acceso con usuario y contraseña para los funcionarios
- Protección de la información con niveles de acceso por usuario
- Depuración de datos personales almacenados de forma inadecuada
- Verificación automática de la información antes de ser guardada
- Protecciones de seguridad activadas en el servidor
- Informe de seguridad antes y después de los cambios
$ 800.000 COP
Módulo 02
Cumplimiento Legal
Entregables
- Formulario digital de consentimiento del solicitante, con registro de fecha y hora
- Sección para que el solicitante consulte, corrija o solicite eliminar sus datos
- Política de privacidad publicada y visible en la aplicación
- Protección de la identidad del solicitante al realizar el análisis de riesgo
- Documentos listos para el registro obligatorio ante la Superintendencia de Industria y Comercio
- Política automática de conservación y eliminación de información según la ley
$ 1.000.000 COP
Módulo 03
Reorganización de la Información
Entregables
- Diseño del nuevo modelo de almacenamiento de información
- Clasificadores y listas de valores estandarizados
- Proceso seguro de transferencia de datos existentes, con reversión en caso de error
- Información actual migrada y verificada sin pérdida de datos
- Aplicación actualizada y funcionando sobre la nueva estructura
- Optimización para búsquedas y generación de reportes
$ 1.200.000 COP
Módulo 04
Despliegue en Producción
Entregables
- Versión final de la aplicación lista para publicar
- Configuración del servidor para que la aplicación funcione correctamente
- Configuración segura de credenciales y accesos en el servidor
- Informe de pruebas completas del sistema en producción con evidencias
$ 360.000 COP
| Módulo 1 — Seguridad Crítica | $ 800.000 |
| Módulo 2 — Cumplimiento Legal | $ 1.000.000 |
| Módulo 3 — Normalización de Base de Datos | $ 1.200.000 |
| Módulo 4 — Despliegue en Producción | $ 360.000 |
| Subtotal | $ 3.360.000 |
| IVA (Art. 476 num. 17 E.T.) | $ 0 — excluido |
| VALOR A PAGAR | $ 3.360.000 COP |
💡
Contratación parcial disponible. Módulos 1 + 2: $ 1.800.000 COP — incluye corrección de todas las vulnerabilidades de seguridad y cumplimiento legal pleno.
Sección 06
Cronograma de Entrega
El proyecto se estructura en 6 semanas con entregas parciales verificables. Los hitos marcados con ⭐ están asociados a pagos según la forma de pago acordada.
1
Semana 1
Seguridad Crítica
Proxy para servicio de IA y autenticación de operadores
Limpieza de código y validaciones de servidor
🔐 Entrega: Sistema de login operativo
2
Semana 2
Cumplimiento Legal — Fase 1
Flujo de autorización del titular
Página de ejercicio de derechos
Anonimización de datos para procesamiento externo
3
Semana 3 ⭐ Hito
Cumplimiento Legal — Fase 2
Política de privacidad y aviso publicados
Documentación para registro ante la SIC
✅ Entrega: Módulos 1 y 2 completos → Segundo pago
4
Semana 4
Base de Datos — Diseño y Migración
Esquema relacional y tablas de catálogo
Script de migración y validación en ambiente de pruebas
5
Semana 5 ⭐ Hito
Base de Datos — Frontend
Actualización de la aplicación al nuevo esquema
Pruebas de integración completas
✅ Entrega: Módulo 3 completo
6
Semana 6 ⭐ Entrega Final
Despliegue en Producción
Build optimizado y configuración de servidor
Variables de entorno y cabeceras de seguridad
Pruebas end-to-end en producción
🚀 Entrega Final → Tercer pago
Sección 07
Condiciones Comerciales
💳 Forma de Pago
| 40% — Anticipo Contra firma del contrato | $ 1.344.000 |
| 30% — Semana 3 Contra entrega Módulos 1 + 2 | $ 1.008.000 |
| 30% — Semana 6 Contra entrega final | $ 1.008.000 |
| Total | $ 3.360.000 |
🛡️ Garantía
30 días
Garantía calendario desde la entrega final. Corrección sin costo adicional de cualquier error atribuible a los trabajos realizados dentro del alcance contratado.
Tiempo de respuesta máximo: 48 horas hábiles.
Tiempo de respuesta máximo: 48 horas hábiles.
⚙️ Soporte Opcional
$ 350.000 / mes
Plan de mantenimiento mensual disponible por separado:
→ Monitoreo de errores en producción → Actualizaciones de seguridad → Hasta 4 horas de ajustes mensuales
→ Monitoreo de errores en producción → Actualizaciones de seguridad → Hasta 4 horas de ajustes mensuales