Ciberseguridad

1. Introducción General

  • ¿Qué es Payválida?

    • Payválida es una empresa fintech líder en el procesamiento de pagos electrónicos, enfocada en ofrecer soluciones confiables. Nos comprometemos con la protección de los datos de nuestros clientes y usuarios mediante prácticas de seguridad avanzadas.”

  • Compromiso con la Seguridad

    • Nuestro compromiso es mantener los más altos estándares de seguridad y cumplimiento normativo en todas nuestras operaciones. Implementamos controles estrictos para mantener la confidencialidad, integridad y disponibilidad de la información.

2. Normativas y Estándares de Cumplimiento

  • Leyes de Protección de datos personales

    • Payválida da cumplimiento a las leyes de protección de datos personales en los países donde tiene operación a través de un programa de responsabilidad demostrada, lo que incluye políticas de consentimiento, transparencia en el tratamiento de datos personales y derechos de acceso y supresión de información, entre otros aspectos.

    • Cada año se realiza una auditoria de cumplimiento de estas leyes con abogados auditores externos, especializados en esta rama.

  • Otros Marcos Regulatorios

    • Adicionalmente, cumplimos con normativas específicas aplicables en las jurisdicciones donde operamos, asegurando que nuestros servicios sean conformes a nivel global.

      • PCI DSS

      • Fintrust de Colombia Fintech

      • eTrust de la CCE (Cámara Colombiana de Comercio Electrónico)

      • Requerimientos de entidades como Incocredito, ACH, Procesadores de pago y Bancos en general.

  • Requisitos de Cumplimiento de Clientes

    • Nuestros servicios están diseñados para ayudar a los clientes a cumplir con sus propias obligaciones regulatorias, proporcionando auditorías regulares, pruebas de seguridad y reportes de conformidad.

3. Políticas:

  • Payválida implementa un marco sólido de políticas de seguridad que abarca la protección de la información, garantizando la confidencialidad, integridad y disponibilidad de los datos. El control de acceso se basa en el principio de privilegios mínimos y se refuerza con autenticación multifactor (MFA). La gestión de vulnerabilidades se realiza mediante escaneos regulares, aplicación de parches y pruebas de penetración continuas, mientras que las incidencias de seguridad se manejan con un proceso claro de detección, contención y mitigación. Además, contamos con un plan de continuidad del negocio que asegura la operación ante interrupciones, y una política de protección de datos que cumple con normativas que nos rigen en dicha materia, utilizando criptografia para proteger la información sensible. Evaluamos rigurosamente a los proveedores clave y proporcionamos capacitación continua en ciberseguridad a nuestro equipo, garantizando el cumplimiento de las mejores prácticas y la preparación ante amenazas emergentes.

4. Gestión de Riesgos:

  • Payválida adopta un enfoque integral para la gestión de riesgos, identificando, evaluando y mitigando amenazas potenciales a la seguridad de la información y la continuidad del negocio. Realizamos evaluaciones de riesgo periódicas para detectar vulnerabilidades y posibles impactos en nuestras operaciones, utilizando herramientas avanzadas para la gestión de vulnerabilidades y la resolución de incidentes. Implementamos controles específicos basados en estándares internacionales como ISO 27001 y PCI DSS, asegurando la protección de los activos críticos y el cumplimiento normativo. Nuestro proceso de gestión de riesgos incluye la identificación de riesgos en la cadena de suministro, la evaluación de riesgos cibernéticos y la implementación de medidas preventivas.

5. Entrenamiento en Seguridad:

  • En Payválida, fomentamos una sólida cultura de seguridad mediante programas de entrenamiento continuo diseñados para concienciar a todos los empleados sobre las mejores prácticas en ciberseguridad. Ofrecemos capacitaciones regulares que abarcan temas como phishing, manejo seguro de información y cumplimiento normativo, con formación anual obligatoria para todo el personal. Además, realizamos simulaciones periódicas, como ejercicios de phishing y respuestas a incidentes, para evaluar y mejorar la preparación de los empleados ante amenazas reales. Promovemos la responsabilidad compartida en la seguridad, asegurando que cada miembro del equipo entienda su rol en la protección de la información y participe activamente en mantener un entorno seguro y conforme a las normativas.

6. Seguridad de los Servicios:

  • Protección de Datos

    • Todos los datos sensibles se cifran utilizando estándares avanzados de cifrado tanto en tránsito como en reposo. Además, implementamos controles de acceso estrictos para asegurar que solo personal autorizado pueda manejar estos datos.

  • Transacciones Seguras

    • Utilizamos protocolos seguros como TLS 1.2 y 1.3 para garantizar que todas las transacciones electrónicas sean seguras y estén protegidas contra ataques cibernéticos.

  • Autenticación y Control de Acceso

    • Nuestros sistemas implementan autenticación multifactor (MFA) y gestión de identidades para garantizar que solo usuarios verificados puedan acceder a nuestros servicios.

  • Cifrado y Gestión de Llaves

    • Implementamos procesos y tecnologias para la gestión segura de claves de cifrado y el uso de tecnologías de cifrado avanzadas.

7. Desarrollo Seguro y Pruebas de Seguridad

  • Desarrollo Seguro:

    • En Payválida, adoptamos un enfoque de Desarrollo Seguro de Software, integrando prácticas de seguridad en todas las fases del ciclo de vida del desarrollo de software. Bajo el modelo de Infraestructura como Código (IaC), garantizamos que tanto el código de nuestras aplicaciones como la infraestructura se gestionen de forma segura, automatizando la detección de vulnerabilidades desde el diseño hasta la implementación.

  • DevSecOps:

    • Nuestro enfoque DevSecOps asegura que la seguridad sea una responsabilidad compartida entre los equipos de desarrollo, operaciones y seguridad, con pipelines automatizados que incluyen controles de seguridad desde el inicio. Además, fomentamos el uso de best practices en la gestión de dependencias y la aplicación de parches para mitigar riesgos en librerías y frameworks externos, asegurando un entorno de desarrollo ágil, seguro y conforme a los estándares de la industria.

  • Gestión de vulnerabilidades y testing continuo.

    • Realizamos pruebas continuas de penetración (pentesting), Ingeniería reversa, SAST, DAST, Revisión de Código, SCA (Software Composition Analisis) para identificar y mitigar vulnerabilidades en nuestros sistemas cada que se hacen cambios en los mismos. Estas pruebas son realizadas tanto por equipos internos como por proveedores externos especializados.

  • Evaluaciones Continuas

    • Nuestras políticas de cumplimiento incluyen auditorías y revisiones de seguridad periódicas internas y por terceras partes, así como actualizaciones de nuestros controles para alinearse con las mejores prácticas internacionales.

8. Protección de la Infraestructura

  • Seguridad Perimetral

    • Firewall y Filtrado de Tráfico:

      • Payválida implementa firewalls para inspeccionar todo el tráfico, aplicando políticas estrictas de filtrado para bloquear amenazas y accesos no autorizados.

      • Utilizamos listas de control de acceso (ACLs) y reglas dinámicas para permitir solo el tráfico necesario y legítimo a través de nuestras redes, asegurando que cualquier intento de acceso no autorizado sea detectado y bloqueado inmediatamente.

    • Seguridad de Frontera (Edge Security):

      • Además de los firewalls, Payválida utiliza tecnologías de seguridad en la nube y de red de distribución de contenido (CDN) para proteger contra ataques volumétricos y amenazas a nivel de capa de aplicación, como ataques DDoS.

    • Web Application Firewall (WAF):

      • En Payválida, contamos con un Web Application Firewall (WAF) para proteger nuestras aplicaciones web de ataques comunes, como inyecciones de SQL, cross-site scripting (XSS), y otras amenazas de capa de aplicación.

  • Seguridad de Endpoints

    • Protección de Dispositivos de Usuario Final:

      • Todos los computadores de usuario final sean fisicos o VDI (Virtual Desktop Infraestructure), utilizados para acceder a los sistemas de Payválida, están protegidos mediante software de protección de endpoint el cual incluye antimalware, firewall, IPS, control de dispositivos, EDR, entre otros.

    • Cifrado de Dispositivos:

      • Todos los dispositivos que acceden a información sensible deben utilizar cifrado de disco completo (como BitLocker o FileVault) para proteger los datos en caso de pérdida o robo.

      • Payválida utiliza tecnologia como parte de nuestra estrategia Zero Trust para proteger el acceso a nuestras aplicaciones y sistemas críticos. Este enfoque garantiza que el acceso a nuestros recursos sea otorgado solo a usuarios verificados y dispositivos autorizados, independientemente de su ubicación.

  • Seguridad en Nube

    • Payválida opera 100% en la nube, por ende la seguridad en la nube es fundamental. Aplicamos cifrado de datos en tránsito y en reposo, y controles de acceso bajo el principio de privilegios mínimos. Utilizamos Infraestructura como Código (IaC) para asegurar configuraciones consistentes y seguras en los entornos cloud, y realizamos monitorización continua con nuestro CSPM y herramientas propias de la nube para detectar anomalías y amenazas. Nuestro enfoque sigue las mejores prácticas de la industria, garantizando la protección de datos y el cumplimiento normativo en nuestros servicios en la nube.

    • Hardening:

      • Aplicamos políticas de hardening a nuestras plataformas tecnológicas de nube para reducir la superficie de ataque, desactivando servicios innecesarios, configurando permisos mínimos, y utilizando herramientas de monitoreo como CSPM (Cloud Security Posture Management) para detectar configuraciones incorrectas.

    • Gestión de Parches:

      • Contamos con un proceso de gestión de parches que asegura que los servidores estén siempre actualizados con los últimos parches de seguridad y actualizaciones del sistema operativo.

9. Monitoreo y Gestión de Incidentes

  • Monitoreo y Detección de Amenazas

    • Nuestro equipo de seguridad monitorea continuamente el tráfico de la red y los eventos de seguridad en tiempo real mediante un SIEM (Security Information and Event Management).

  • Response y Planes de Contingencia

    • Contamos con un plan de respuesta a incidentes, diseñado para detectar, contener y mitigar cualquier amenaza de seguridad en el menor tiempo posible.

10. Soporte a Clientes en Seguridad

  • Guías de Buenas Prácticas

    • Ofrecemos a nuestros clientes recomendaciones detalladas sobre cómo implementar controles de seguridad adicionales en sus propios entornos.

  • Guías Técnicas y Procedimientos

    • Proporcionamos documentación técnica para ayudar a los clientes a integrar nuestros servicios de forma segura, como guías de API y procedimientos de configuración segura.

11. Transparencia y Reportes

  • Informes de Auditoría

    • Nuestros informes de auditoría de seguridad están disponibles bajo solicitud para clientes que necesiten validar nuestras prácticas de cumplimiento. Estas solicitudes se pueden hacer a la dirección de correo electrónico support@payvalida.com

  • Reportes de Incidentes de Seguridad

    • En caso de incidentes relevantes, notificamos a los clientes afectados y proporcionamos detalles sobre el incidente y las acciones correctivas tomadas.

12. Contacto y Asistencia

  • Soporte de Seguridad

    • Nuestros expertos en seguridad están disponibles para responder a cualquier duda o consulta a través de soc@payvalida.com

  • Reportar un Problema de Seguridad

    • Si detectas alguna vulnerabilidad o problema de seguridad, por favor repórtalo a través de soc@payvalida.com para que podamos tomar medidas inmediatas.

Last updated