Resumen de seguridad de PaymentEvolution

Seguridad de la infraestructura

PaymentEvolution mantiene una infraestructura de alta disponibilidad para los servicios al cliente, las operaciones y el análisis de datos.  

Nuestros servicios, operaciones y procesos están diseñados pensando primero en la seguridad. Nos comprometemos a liderar el sector en el mantenimiento de la seguridad, protección y privacidad de los servicios que prestamos a nuestra clientela, independientemente del nivel de certificación. Es esta pasión la que garantiza el cumplimiento diario de los protocolos de la industria.

Además de nuestras propias operaciones internas, nuestro centro de datos mantiene la certificación ISO 27001:2013.

Seguridad de la red

Las instalaciones de nuestro centro de datos ofrecen diversas funciones y servicios de seguridad para aumentar la privacidad y controlar el acceso a la red. PaymentEvolution utiliza: 

• Cortafuegos integrados que permiten controlar el acceso a la red

• Cifrado en tránsito (y en reposo) con TLS en todos los servicios

• Tecnologías de mitigación de DDoS

• Supervisión frente a malware y detección de amenazas

Seguridad física

Los centros de datos de PaymentEvolution están ubicados en Canadá y mantenemos una estricta residencia de los datos dentro del país. PaymentEvolution aprovecha todas las capacidades de nuestros proveedores, incluidas la seguridad física y los controles ambientales, para proteger nuestra infraestructura de cualquier amenaza o impacto físico. Cada centro cuenta con personal de seguridad física in situ las 24 horas del día, los 7 días de la semana, los 365 días del año, para protegerlo contra accesos no autorizados. Los controles de seguridad proporcionados por nuestras instalaciones de centros de datos incluyen, entre otros: 

• Servicios de guardias de seguridad física las 24 horas, los 7 días de la semana

• Restricciones de acceso físico a la propiedad y a las instalaciones

• Las áreas de servicios del centro de datos son accesibles únicamente mediante llaveros RFID programados y acceso biométrico. Las puertas de acceso principal también utilizan seguridad biométrica. Todas las áreas acristaladas utilizan vidrio blindado.

• Los sistemas de videovigilancia registran los movimientos por las instalaciones del centro de datos y una empresa de seguridad independiente los supervisa de forma centralizada

• Las instalaciones están sin señalizar para no llamar la atención desde el exterior

• La infraestructura eléctrica está acondicionada y respaldada por múltiples niveles de redundancia: sistemas SAI y generadores de reserva con un mínimo de 72 horas de capacidad de generación diésel.

El acceso a la infraestructura de red de gestión se realiza a través de puntos de autenticación multifactor que restringen el acceso a nivel de red a la infraestructura en función de la función laboral, aplicando el principio de mínimo privilegio. Todos los accesos a los puntos de entrada se supervisan de cerca y están sujetos a estrictos mecanismos de control de cambios. 

Los sistemas están protegidos mediante autenticación basada en claves y el acceso está limitado por el Control de Acceso Basado en Roles (RBAC). El RBAC garantiza que solo los usuarios que requieren acceso a un sistema puedan iniciar sesión. Consideramos que cualquier sistema que albergue datos de clientes que recopilamos, o sistemas que alberguen los datos que los clientes almacenan con nosotros, son de la máxima confidencialidad. Por ello, el acceso a estos sistemas está sumamente limitado y se vigila de cerca. 

Además, el almacenamiento y la infraestructura fuera de servicio se borran de forma segura utilizando las normas NIST SP 800-88 (o normas superiores según se ratifiquen) cuando proceda. 

Supervisión del acceso

PaymentEvolution realiza una supervisión continua de nuestros entornos de producción. Nuestro registro incluye las acciones del sistema, así como el acceso y los comandos emitidos por nuestros administradores de sistemas, personal de soporte y clientes. 

Los registros se revisan en tiempo real para identificar posibles actividades maliciosas dentro de nuestra infraestructura. Se realiza un seguimiento de los comportamientos de los usuarios y del sistema para detectar actividades sospechosas, y se llevan a cabo investigaciones siguiendo nuestros procedimientos de notificación y respuesta ante incidentes. 

Registro de auditoría

Todas las transacciones de la base de datos se registran mediante un número de identificación de usuario, una dirección IP, una marca de tiempo e información sobre la acción realizada. 

Acceso de los empleados

Los empleados de PaymentEvolution deben superar comprobaciones policiales y otros análisis de antecedentes. Todos los accesos de los empleados se registran y protegen mediante claves RSA SSH-2 de 2048 bits, consideradas un estándar del sector. PaymentEvolution implementa procesos internos para la emisión y retirada de claves a los empleados autorizados. 

Transmisión y almacenamiento de datos

Todos los datos se cifran en tránsito con TLS, utilizando una clave de 2048 bits, firmada mediante el algoritmo estándar del sector SHA256 RSA. PaymentEvolution evalúa periódicamente este estándar de cifrado e implementa mejoras a medida que se ratifican nuevos estándares. Los datos en reposo (que residen en nuestros centros de datos) se cifran mediante el algoritmo estándar de la industria AES-256. 

Seguridad de instantáneas y copias de seguridad

PaymentEvolution recupera, cifra y almacena copias de seguridad continuas de nuestros sistemas de almacenamiento de datos de producción. Estas copias de seguridad residen dentro de nuestros centros de datos por motivos de seguridad y cumplimiento normativo. Las copias de seguridad de los datos mantienen su residencia en Canadá.

Atestaciones y certificaciones

Nuestros centros de datos cumplen y superan las leyes de certificación y cumplimiento más estrictas. Entre ellas se incluyen: 

• SOC 1/SSAE 16/ISAE 3402 (anteriormente SAS 70)

• SOC2

• SOC3

• PCI DSS Nivel 1

• ISO 27001:2013 

Desarrollo de aplicaciones

Los desarrolladores de PaymentEvolution crean sistemas y ejecutan una serie de pruebas para todas las solicitudes de cambio en múltiples entornos, a fin de garantizar la coherencia y la retrocompatibilidad. 

La gestión de lanzamientos y la implementación se realizan a través de una arquitectura AWS Pipeline, lo que garantiza la capacidad de deshacer los cambios en cualquier momento. La autenticación basada en tokens ofrece a los administradores de PaymentEvolution un control total sobre el acceso y su caducidad. 

Acuerdos de nivel de servicio

PaymentEvolution tiene acuerdos de nivel de servicio firmados con nuestros proveedores de infraestructura y supervisión. PaymentEvolution mantiene un tiempo de actividad superior al 99.9 % en nuestra infraestructura principal y en los servicios orientados al cliente. Los informes de tiempo de actividad en tiempo real y los datos históricos son gestionados por terceros y se publican abiertamente en http://status.paymentevolution.com   

Transacciones financieras

PaymentEvolution utiliza Stripe y First Data como nuestros proveedores de almacenamiento y procesamiento de tarjetas de crédito. Ambos han sido auditados por un auditor certificado por PCI y cuentan con la certificación PCI Service Provider Level 1. Este es el nivel de certificación más estricto disponible en el sector de los pagos. 

Los pagos de PaymentEvolution se procesan con los principales bancos y cooperativas de crédito canadienses, todos los cuales cumplen con nuestros más altos estándares de seguridad, auditoría e informes.

Controles de Sistemas y Organizaciones (SOC) 3

Los controles de sistemas y organizaciones (SOC) para organizaciones de servicios son informes de control interno creados por el Instituto Americano de Contables Públicos Certificados (AICPA). Tienen por objeto examinar los servicios prestados por una organización de servicios para que los usuarios finales puedan evaluar y abordar el riesgo asociado a un servicio subcontratado. PaymentEvolution mantiene auditorías SOC 2 y publica informes resumidos SOC 3.

PaymentEvolution encarga anualmente un examen SOC 2 Tipo 2 completo de nuestros servicios. Los informes del auditor sobre estos exámenes (también conocidos como auditorías) se publican tan pronto como están listos tras dicha auditoría. El informe SOC 3, que se basa en el examen SOC 2, se publica al mismo tiempo.

Dado que PaymentEvolution no controla el alcance de la investigación del examen ni el plazo de finalización del auditor, no existe un plazo fijo para la publicación de estos informes. Los informes suelen publicarse unos meses después del final del periodo examinado. PaymentEvolution no permite que existan brechas entre los periodos de examen consecutivos de una evaluación a otra.

Los clientes pueden descargar un informe SOC 3 haciendo clic en el archivo adjunto de este artículo.

Seguridad en la atención al cliente

Nuestro equipo de Éxito del Cliente solo le solicitará la información estrictamente necesaria para resolver la consulta en cuestión. Nunca le pediremos sus números de SIN (número de seguro social) ni los de sus empleados. La información bancaria solo se solicitará en el contexto de habilitar un débito preautorizado o para corregir un caso relacionado con el pago a un empleado. Tampoco pediremos nunca a sus empleados que nos llamen directamente. Si alguna vez recibe una solicitud sospechosa, o cualquier petición de información confidencial sobre la que tenga dudas, póngase en contacto con nuestro equipo de Éxito del Cliente en el 647-776-7600 o por correo electrónico en support@paymentevolution.com. No le solicitaremos que se ponga en contacto con nosotros por ningún otro medio.