APÉNDICE 2: Política de seguridad de PayFit

Publicado el 17 de Mayo 2023

Medidas técnicas de seguridad

Medidas de autenticación

Identificador único por usuario
Cumplimiento de las recomendaciones francesas de Protección de Datos sobre contraseñas (autenticación fuerte, limitación del número de intentos de acceso, renovación periódica de contraseñas, almacenamiento seguro de contraseñas...)
Autenticación 2FA

Registro de accesos y gestión de incidencias

Registro de accesos, anomalías y eventos relacionados con la seguridad
Registro de incidentes en un archivo de registro
Protección de los dispositivos de registro frente a accesos no autorizados
Revisión periódica de los registros de eventos
Replicación de registros en tres nodos de tres regiones distintas de Francia
Acceso a Datos personales por personal autorizado internamente mediante vpn y autenticación 2FA
Acceso a los datos restringido a los equipos de incorporación, servicio de atención al cliente y mantenimiento con la debida justificación

Disponibilidad y resistencia

Replicación de datos a través de dos nodos para bases de datos y tres nodos para almacenamiento AWS S3
Alojamiento de nodos en un centro de datos especializado
Capacidad de conmutación automática por error del servidor
Copias de seguridad realizadas cada hora
Comprobación diaria del proceso de recuperación
Cifrado HTTPS de las copias de seguridad durante la transferencia
Replicación de copias de seguridad tres con protección de acceso a través de AWS y el sistema de gestión de derechos de Kubernetes

Alojamiento y redes

Alojamiento proporcionado por Amazon Web Services en servidores ubicados en la UE, con certificación ISO 27001
Transmisión cifrada HTTPS de extremo a extremo entre el servidor y terceros
División funcional de la red PayFit en subredes para la seguridad: separación de los entornos de prueba y producción
Oficina administrativa de PayFit aislada de Internet salvo por un único punto de entrada proxy
Supervisión y registro del historial del sistema que almacena o procesa Datos personales
Sincronización de servidores mediante un servidor NTP de AWS
Partición de sitios web y redes Wi-Fi (HTTPS, TLS)
Partición de la red interna y externa
Acceso limitado a las herramientas e interfaces de administración
Realización de actualizaciones críticas sin demora
Instalación de herramientas de detección de vulnerabilidades

Protección de estaciones fijas y móviles

Seguridad de datos y flujos

Cifrado de archivos adjuntos
Cifrado de datos (hashing, protección de claves secretas...)
Cifrado de los datos alojados y transferidos
No transmisión de datos sensibles a los encargados del tratamiento
Transferencia de datos en TLS/SSL con HSTS y en modo de confidencialidad de transmisión perfecta

Seguridad física de los locales y lugares de almacenamiento de datos

Alarma antintrusión
Videovigilancia 24/7
Control de acceso (tarjetas de identificación, puertas y armarios cerrados, conservación del acceso físico durante 45 días)
Supervisión de visitantes
Protección contra incendios

Personal

Comprobación de los antecedentes de los solicitantes de conformidad con la normativa
Obligaciones de confidencialidad y carta informática
Formación obligatoria de los trabajadores en materia de seguridad
Aplicación de la matriz de responsabilidades RACI a cada tarea de desarrollo y gestión

Gestión de autorizaciones

Sensibilización del personal y confidencialidad de los datos

Cartografía de la tramitación y control de la conformidad

Nombramiento de un responsable de la protección de datos (RPD)
Registro de actividades de tratamiento (Artículo 30 del RGPD) actualizado periódicamente
Fiabilidad de los cálculos comprobada periódicamente mediante un sistema de verificación automática
Departamento jurídico dedicado al cumplimiento de la normativa

Seguridad de los Subencargados

Emplear únicamente Subencargados con garantías suficientes respecto a la normativa
Contrato de protección de datos celebrado con Subencargados del tratamiento (Artículo 28 del RGPD)
Verificación sistemática del cumplimiento normativo, financiero y de seguridad del proveedor al suministrar nuevos equipos de sistemas de información

Continuidad de los servicios

Puesta en marcha de un procedimiento para eventos de seguridad
Formación del personal sobre el procedimiento de seguridad
Transmisión de sucesos de seguridad a un equipo de emergencia
Análisis del suceso por un miembro del equipo de emergencia
Informar a todos los equipos de las causas y la consecuencia del incidente para evitar que se repita en el futuro
Revisión en profundidad por parte del equipo de mantenimiento, los departamentos pertinentes y, especialmente, el departamento jurídico y de comunicación

Recursos digitales

Política de seguridad de dispositivos centralizada (inventario, bloqueo automático, complejidad de contraseñas, cortafuegos, restricciones de instalación, actualización automática, bloqueo remoto)
Política centralizada de herramientas permitidas para procesar datos por tipo y clasificación
Acceso controlado al código fuente. Revisión paritaria de los cambios.
Derechos de acceso centralizados en todo el software SaaS
En caso de externalización: verificación de la seguridad y el cumplimiento.

Auditorías

Auditorías periódicas a través de Sentry y AWS Cloudtrail para evaluar la seguridad de la aplicación y las infraestructuras de PayFit
Implantación de un sistema de recompensas en HackerOne para identificar y reducir el riesgo en la seguridad de los datos mediante una invitación
Realización de una auditoría por parte de una organización tercera independiente como parte de la certificación ISO 27001

Directrices de seguridad