payfit logo

APÉNDICE 2: Política de seguridad de PayFit

Publicado el 17 de Mayo 2023

Medidas técnicas de seguridad

Medidas de autenticación 
  • Identificador único por usuario
  • Cumplimiento de las recomendaciones francesas de Protección de Datos sobre contraseñas (autenticación fuerte, limitación del número de intentos de acceso, renovación periódica de contraseñas, almacenamiento seguro de contraseñas...)
  • Autenticación 2FA
Registro de accesos y gestión de incidencias
  • Registro de accesos, anomalías y eventos relacionados con la seguridad
  • Registro de incidentes en un archivo de registro
  • Protección de los dispositivos de registro frente a accesos no autorizados
  • Revisión periódica de los registros de eventos
  • Replicación de registros en tres nodos de tres regiones distintas de Francia
  • Acceso a Datos personales por personal autorizado internamente mediante vpn y autenticación 2FA
  • Acceso a los datos restringido a los equipos de incorporación, servicio de atención al cliente y mantenimiento con la debida justificación
Disponibilidad y resistencia
  • Replicación de datos a través de dos nodos para bases de datos y tres nodos para almacenamiento AWS S3
  • Alojamiento de nodos en un centro de datos especializado
  • Capacidad de conmutación automática por error del servidor
  • Copias de seguridad realizadas cada hora
  • Comprobación diaria del proceso de recuperación
  • Cifrado HTTPS de las copias de seguridad durante la transferencia
  • Replicación de copias de seguridad tres con protección de acceso a través de AWS y el sistema de gestión de derechos de Kubernetes
Alojamiento y redes
  • Alojamiento proporcionado por Amazon Web Services en servidores ubicados en la UE, con certificación ISO 27001
  • Transmisión cifrada HTTPS de extremo a extremo entre el servidor y terceros
  • División funcional de la red PayFit en subredes para la seguridad: separación de los entornos de prueba y producción
  • Oficina administrativa de PayFit aislada de Internet salvo por un único punto de entrada proxy
  • Supervisión y registro del historial del sistema que almacena o procesa Datos personales
  • Sincronización de servidores mediante un servidor NTP de AWS
  • Partición de sitios web y redes Wi-Fi (HTTPS, TLS)
  • Partición de la red interna y externa
  • Acceso limitado a las herramientas e interfaces de administración
  • Realización de actualizaciones críticas sin demora
  • Instalación de herramientas de detección de vulnerabilidades
Protección de estaciones fijas y móviles
  • Bloqueo automático de sesiones, estaciones nómadas y móviles
  • Cortafuegos
  • Software antivirus actualizado periódicamente
  • Cifrado de dispositivos móviles y soportes de almacenamiento
  • Mecanismos y salvaguardias antirrobo y de protección de la intimidad
  • VPN obligatoria para el acceso remoto a la oficina administrativa
Seguridad de datos y flujos
  • Cifrado de archivos adjuntos
  • Cifrado de datos (hashing, protección de claves secretas...)
  • Cifrado de los datos alojados y transferidos
  • No transmisión de datos sensibles a los encargados del tratamiento
  • Transferencia de datos en TLS/SSL con HSTS y en modo de confidencialidad de transmisión perfecta
Seguridad física de los locales y lugares de almacenamiento de datos
  • Alarma antintrusión
  • Videovigilancia 24/7
  • Control de acceso (tarjetas de identificación, puertas y armarios cerrados, conservación del acceso físico durante 45 días)
  • Supervisión de visitantes
  • Protección contra incendios

Medidas de seguridad de la organización

Personal
  • Comprobación de los antecedentes de los solicitantes de conformidad con la normativa
  • Obligaciones de confidencialidad y carta informática
  • Formación obligatoria de los trabajadores en materia de seguridad
  • Aplicación de la matriz de responsabilidades RACI a cada tarea de desarrollo y gestión
Gestión de autorizaciones
  • Definición de los perfiles de autorización
  • Revisión anual de las autorizaciones
  • Eliminación de autorizaciones irrelevantes
Sensibilización del personal y confidencialidad de los datos
  • Concienciación del personal sobre los riesgos para la intimidad y la libertad
  • Compromiso de confidencialidad del personal
Cartografía de la tramitación y control de la conformidad
  • Nombramiento de un responsable de la protección de datos (RPD)
  • Registro de actividades de tratamiento (Artículo 30 del RGPD) actualizado periódicamente
  • Fiabilidad de los cálculos comprobada periódicamente mediante un sistema de verificación automática
  • Departamento jurídico dedicado al cumplimiento de la normativa
Seguridad de los Subencargados
  • Emplear únicamente Subencargados con garantías suficientes respecto a la normativa
  • Contrato de protección de datos celebrado con Subencargados del tratamiento (Artículo 28 del RGPD)
  • Verificación sistemática del cumplimiento normativo, financiero y de seguridad del proveedor al suministrar nuevos equipos de sistemas de información
Continuidad de los servicios
  • Puesta en marcha de un procedimiento para eventos de seguridad
  • Formación del personal sobre el procedimiento de seguridad
  • Transmisión de sucesos de seguridad a un equipo de emergencia
  • Análisis del suceso por un miembro del equipo de emergencia
  • Informar a todos los equipos de las causas y la consecuencia del incidente para evitar que se repita en el futuro
  • Revisión en profundidad por parte del equipo de mantenimiento, los departamentos pertinentes y, especialmente, el departamento jurídico y de comunicación
Recursos digitales
  • Política de seguridad de dispositivos centralizada (inventario, bloqueo automático, complejidad de contraseñas, cortafuegos, restricciones de instalación, actualización automática, bloqueo remoto)
  • Política centralizada de herramientas permitidas para procesar datos por tipo y clasificación
  • Acceso controlado al código fuente. Revisión paritaria de los cambios.
  • Derechos de acceso centralizados en todo el software SaaS
  • En caso de externalización: verificación de la seguridad y el cumplimiento.
Auditorías
  • Auditorías periódicas a través de Sentry y AWS Cloudtrail para evaluar la seguridad de la aplicación y las infraestructuras de PayFit
  • Implantación de un sistema de recompensas en HackerOne para identificar y reducir el riesgo en la seguridad de los datos mediante una invitación
  • Realización de una auditoría por parte de una organización tercera independiente como parte de la certificación ISO 27001
Directrices de seguridad 
  • Carta informática
  • Carta del usuario del SI
  • Carta del administrador del SI
  • Política de autorización y gestión de contraseñas
  • Política de seguridad de los sistemas de información («PSSI»)
  • Procedimiento de gestión de incidentes
  • Procedimiento de gestión del incumplimiento de datos personales
  • Informes de auditoría de seguridad
  • Adquisición de una póliza de seguro cibernético
  • Certificaciones: ISO 27001