Cumplimiento de normas y reglamentos
Estas plataformas utilizan las mejores prácticas de seguridad para mantener un alto nivel de seguridad.
Certificado para PCI
Un auditor certificado por PCI evaluó estas plataformas y los certificó con el PCI de nivel 1 para proveedores de servicios. Este es el nivel de certificación más estricto disponible en el sector de los pagos. Esta auditoría incluye el almacenamiento de datos de tarjetas de Stripe (CDV) y el desarrollo de software seguro de nuestro código de integración.
Informes de Controles de Sistemas y Organizaciones (CSO)
Los sistemas, procesos y controles de estas plataformas de pagos se auditan regularmente como parte de su programas de cumplimiento SOC 1 y SOC 2. Los informes SOC 1 y SOC 2 Tipo II se producen anualmente y se pueden proporcionar previa solicitud.
Los criterios de servicios fiduciarios (TSC) del Consejo de Normas de Auditoría del Instituto Estadounidense de Contadores Públicos Certificados (AICPA) desarrollaron el informe SOC 3.
Norma EMVCo para terminales de tarjetas
Sus terminal están certificada según los normas EMVCo Nivel 1 y 2 de las especificaciones EMV® para la seguridad e interoperabilidad de tarjetas y terminales. Terminal también está certificado según la Norma de seguridad de datos de aplicaciones de pago de PCI (PA-DSS), la norma de seguridad internacional que tiene como objetivo evitar que las aplicaciones de pago desarrolladas para terceros almacenen datos seguros prohibidos.
Marco de ciberseguridad del NIST
El conjunto de políticas de seguridad de la información de de estas plataformas y su diseño general están alineados con el Marco de ciberseguridad del NIST. Sus prácticas de seguridad cumplen con la normativa de nuestros clientes empresariales que deben proporcionar productos seguros, como plataformas de almacenamiento y de informática en la nube bajo demanda.
Privacidad y protección de datos
Implementan continuamente procesos, procedimientos y mejores prácticas de privacidad y de protección de datos en constante evolución bajo todos los regímenes de privacidad y protección de datos aplicables.
Aseguramiento de productos
La seguridad es uno de los principios rectores para todas sus decisiones de diseño de productos e infraestructura. Ofrecen una serie de funciones para ayudar a los usuarios a proteger mejor sus datos.
Protecciones de la infraestructura
Sus equipos de seguridad comprueban nuestra infraestructura de forma frecuente en busca de vulnerabilidades y realizando pruebas de penetración y ejercicios de equipo rojo. Contratan a empresas de seguridad líderes en el sector para que realicen análisis de terceros de sus sistemas y abordan de inmediato sus hallazgos. Sus servidores se reemplazan con frecuencia y automáticamente para mantener el estado del servidor y descartar conexiones o recursos obsoletos. Los sistemas operativos de los servidores se actualizan mucho antes de la fecha de finalización de la vida útil de la seguridad.
Tecnología de tarjetas especializada
Se cifra los datos confidenciales tanto en tránsito como en reposo. La infraestructura para almacenar, descifrar y transmitir los números de cuenta primaria (PAN), como los números de tarjeta de crédito, se gestiona en una infraestructura de alojamiento independiente y no comparte ninguna credencial con el resto de nuestros servicios. Un equipo especializado gestiona nuestro CDV en un entorno aislado de Amazon Web Services (AWS) que está separado del resto de la infraestructur. El acceso a este entorno separado está restringido a un pequeño número de ingenieros especialmente capacitados y el acceso se revisa cada trimestre.
Todos los números de tarjeta se cifran en reposo con AES-256. Las claves de descifrado se almacenan en máquinas separadas. Tokenizamos los PAN de forma interna y aislamos los números brutos del resto de nuestra infraestructura. Ninguno de los servidores ni daemons internos puede obtener los números de tarjeta en texto sin formato, pero puede solicitar que las tarjetas se envíen a un proveedor de servicios en una lista de permisos estática. La infraestructura para almacenar, descifrar y transmitir los números de tarjeta se ejecuta en un entorno de alojamiento independiente y no comparte ninguna credencial con los servicios principales, como nuestra API y nuestro sitio web. No solo los PAN se tokenizan de esta manera: tratamos de manera similar otros datos confidenciales, como la información de las cuentas bancarias.
Tecnología corporativa
Se adopta un enfoque de confianza cero para la gestión del acceso de los empleados. Los empleados se autentican utilizando el inicio de sesión único y la autenticación en dos pasos (2FA) con un token basado en hardware y mTLS a través de un certificado criptográfico en máquinas emitidas. Después de conectarse a la red, los sistemas internos confidenciales y los que están fuera del alcance del trabajo estándar del empleado requieren permisos de acceso adicionales.
Supervisan los registros de auditoría para detectar anomalías, intrusiones y actividades sospechosas y también vigilamos los cambios de los archivos confidenciales de nuestra base de código. Todo el código se somete a una revisión por parte de varias personas y a pruebas automatizadas. Los cambios de código se registran en un registro inmutable y a prueba de manipulaciones.