Resumen de seguridad de PaymentEvolution

Resumen de la infraestructura de seguridad de PaymentEvolution, las medidas de protección de datos, las certificaciones de cumplimiento y los procedimientos de respuesta a incidentes.

También conocido como: resumen de seguridad, documentación de cumplimiento, prácticas de protección de datos, certificaciones de seguridad, seguridad de PaymentEvolution.

Antes de comenzar

  • No se requiere acceso a la cuenta ni permisos específicos para revisar esta información

Nota(s) importante(s)

¿Tiene preguntas sobre nuestras prácticas de seguridad o necesita documentación adicional? Estamos aquí para ayudarle. Contáctenos y con gusto conversaremos sobre cómo protegemos sus datos y respaldamos sus requisitos de cumplimiento.

Tabla de contenido

Seguridad de la infraestructura

PaymentEvolution mantiene una infraestructura de alta disponibilidad para servicios al cliente, operaciones y analítica de datos.  

Nuestros servicios, operaciones y procesos están diseñados poniendo la seguridad en primer lugar. Estamos comprometidos con liderar la industria en el mantenimiento de la protección, la seguridad y la privacidad de los servicios que brindamos a nuestra clientela, independientemente del nivel de certificación. Es esta pasión la que garantiza el cumplimiento diario de los protocolos de la industria.

Además de nuestras propias operaciones internas, nuestro centro de datos mantiene la certificación ISO 27001:2013.

Seguridad de red

Nuestras instalaciones de centro de datos ofrecen diversas capacidades y servicios de seguridad para aumentar la privacidad y controlar el acceso a la red. PaymentEvolution utiliza: 

  • Firewalls integrados que permiten controlar el acceso a la red

  • Cifrado en tránsito (y en reposo) con TLS en todos los servicios

  • Tecnologías de mitigación de DDoS

  • Monitoreo antimalware y detección de amenazas

Seguridad física

Los centros de datos de PaymentEvolution están ubicados en Canadá y mantenemos una estricta residencia de los datos dentro de Canadá. PaymentEvolution aprovecha todas las capacidades de nuestros proveedores, incluida la seguridad física y los controles ambientales, para proteger nuestra infraestructura frente a amenazas o impactos físicos. Cada sitio cuenta con personal las 24 horas, los 7 días de la semana, los 365 días del año, con seguridad física en el lugar para proteger contra entradas no autorizadas. Los controles de seguridad proporcionados por nuestras instalaciones de centro de datos incluyen, entre otros: 

  • Servicios de guardias de seguridad física 24/7

  • Restricciones de acceso físico a la propiedad y a las instalaciones

  • Las áreas de servicios del centro de datos son accesibles únicamente mediante llaveros RFID programados y acceso biométrico. Las puertas principales de acceso también utilizan seguridad biométrica. Cualquier área con vidrio utiliza vidrio antibalas.

  • Los sistemas de videovigilancia rastrean el movimiento a través de las instalaciones del centro de datos y son monitoreados de forma centralizada por una firma de seguridad independiente

  • Las instalaciones no tienen identificación visible para no llamar la atención desde el exterior

  • La infraestructura eléctrica está acondicionada y respaldada por múltiples niveles de redundancia: sistemas UPS y generadores de respaldo con una capacidad mínima de generación diésel de 72 horas.

El acceso a la infraestructura de red de administración se proporciona mediante puntos de autenticación multifactor que restringen el acceso a nivel de red a la infraestructura según la función laboral, utilizando el principio de mínimo privilegio. Todo acceso a los puntos de entrada se supervisa de cerca y está sujeto a estrictos mecanismos de control de cambios. 

Los sistemas están protegidos mediante autenticación basada en claves y el acceso está limitado por el Control de Acceso Basado en Roles (RBAC). RBAC garantiza que solo los usuarios que requieren acceso a un sistema puedan iniciar sesión. Consideramos que cualquier sistema que aloje los datos de clientes que recopilamos, o sistemas que alojen los datos que los clientes almacenan con nosotros, tiene la máxima sensibilidad. Por ello, el acceso a estos sistemas es extremadamente limitado y se monitorea de cerca. 

Además, el almacenamiento y la infraestructura dados de baja se borran de forma segura utilizando los estándares NIST SP 800-88 (o estándares superiores, según sean ratificados), cuando corresponda. 

Monitoreo de acceso

PaymentEvolution realiza un monitoreo continuo de nuestros entornos de producción. Nuestros registros incluyen acciones del sistema, así como accesos y comandos emitidos por nuestros administradores de sistemas, personal de soporte y clientes. 

Los registros se revisan en tiempo real para identificar actividad potencialmente maliciosa dentro de nuestra infraestructura. Se supervisan los comportamientos de usuarios y sistemas en busca de actividad sospechosa, y se realizan investigaciones de acuerdo con nuestros procedimientos de reporte y respuesta a incidentes. 

Registro de auditoría

Todas las transacciones de base de datos se registran utilizando un número de identificación de usuario, dirección IP, marca de tiempo e información sobre la acción realizada. 

Acceso de empleados

Los empleados de PaymentEvolution deben aprobar verificaciones policiales y otros controles de antecedentes. Todo acceso de empleados se registra y se protege mediante claves RSA SSH-2 de 2048 bits, consideradas un estándar de la industria. PaymentEvolution implementa procesos internos para emitir y revocar claves de empleados autorizados. 

Transmisión y almacenamiento de datos

Todos los datos se cifran en tránsito con TLS, usando una clave de 2048 bits, firmada con el algoritmo estándar de la industria SHA256 RSA. PaymentEvolution evalúa regularmente este estándar de cifrado e implementa mejoras a medida que se ratifican nuevos estándares. Los datos en reposo (almacenados en nuestros centros de datos) se cifran utilizando el algoritmo estándar de la industria AES-256. 

Seguridad de instantáneas y copias de seguridad

PaymentEvolution recupera, cifra y almacena copias de seguridad continuas de nuestros sistemas de almacenamiento de datos de producción. Estas copias de seguridad residen dentro de nuestros centros de datos por motivos de seguridad y cumplimiento. Las copias de seguridad de datos mantienen residencia en Canadá.

Declaraciones y certificaciones

Nuestros centros de datos cumplen y superan las leyes más estrictas de certificación y cumplimiento. Estas incluyen: 

  • SOC 1/SSAE 16/ISAE 3402 (anteriormente SAS 70)

  • SOC2

  • SOC3

  • PCI DSS Nivel 1

  • ISO 27001:2013 

Desarrollo de aplicaciones

Los desarrolladores de PaymentEvolution crean sistemas y ejecutan una batería de pruebas en todas las solicitudes de cambio que abarcan múltiples entornos para garantizar consistencia y compatibilidad con versiones anteriores. 

La gestión de versiones y la implementación se impulsan mediante una arquitectura AWS Pipeline, lo que garantiza la capacidad de revertir cambios en cualquier momento. La autenticación basada en tokens proporciona a los administradores de PaymentEvolution control total sobre el acceso y su vencimiento. 

Acuerdos de nivel de servicio

PaymentEvolution tiene acuerdos de nivel de servicio vigentes con nuestros proveedores de infraestructura y monitoreo. PaymentEvolution mantiene más de un 99,9% de disponibilidad de la infraestructura central y de los servicios orientados al cliente. La disponibilidad en tiempo real y los reportes históricos son mantenidos por terceros y se publican públicamente en http://status.paymentevolution.com   

Transacciones financieras

PaymentEvolution utiliza Stripe y First Data como nuestros proveedores de almacenamiento y procesamiento de tarjetas de crédito. Ambos han sido auditados por un auditor certificado por PCI y están certificados como PCI Service Provider Level 1. Este es el nivel de certificación más estricto disponible en la industria de pagos. 

Los pagos de PaymentEvolution se procesan con bancos y cooperativas de crédito líderes de Canadá, todos los cuales cumplen con nuestros más altos estándares de seguridad, auditoría y reportes.

Controles del sistema y la organización (SOC) 3

System and Organization Controls (SOC) para organizaciones de servicios son informes de control interno creados por el American Institute of Certified Public Accountants (AICPA). Su objetivo es examinar los servicios proporcionados por una organización de servicios para que los usuarios finales puedan evaluar y abordar el riesgo asociado con un servicio subcontratado. PaymentEvolution mantiene auditorías SOC 2 y publica informes resumidos SOC 3.

PaymentEvolution encarga anualmente un examen completo SOC 2 Tipo 2 de nuestros servicios. Los informes del auditor sobre estos exámenes (también conocidos como auditorías) se emiten tan pronto como están listos después de esa auditoría. El informe SOC 3, que se basa en el examen SOC 2, se emite al mismo tiempo.

Debido a que PaymentEvolution no controla el alcance investigativo del examen ni el plazo de finalización del auditor, no existe un plazo fijo para la emisión de estos informes. Por lo general, los informes se emiten unos meses después del final del período bajo examen. PaymentEvolution no permite brechas en los períodos consecutivos de examen de un examen al siguiente.

Los clientes pueden descargar un informe SOC 3 haciendo clic en el archivo adjunto de este artículo.

Descargar PaymentEvolution SOC3 - 1 de enero - 31 de diciembre de 2024.pdf

Descargar PaymentEvolution SOC3 - 1 de enero - 31 de diciembre de 2024.pdf

Palabras clave: SOC 1, SOC 2, SOC 3, ISO 42001, Cifrado de datos, Controles de acceso, Seguridad de red, Seguridad física, Certificaciones de cumplimiento, Respuesta a incidentes, Registro de auditoría, Seguridad de la infraestructura, Protección contra DDoS, Residencia de datos, Canadá, Política de privacidad

Metadatos:

396

¿No encuentra lo que busca? Podemos revisarlo de forma más directa para ayudarle a resolver su asunto — Crear caso o Contáctenos