Ir al contenido principal

APÉNDICE 2: Política de seguridad de PayFit

Publicado el 17 de Mayo 2023

APÉNDICE 2: Política de seguridad de PayFit

Medidas técnicas de seguridad

Medidas de autenticación 

  • Identificador único por usuario

  • Cumplimiento de las recomendaciones francesas de Protección de Datos sobre contraseñas (autenticación fuerte, limitación del número de intentos de acceso, renovación periódica de contraseñas, almacenamiento seguro de contraseñas...)

  • Autenticación 2FA

Registro de accesos y gestión de incidencias

  • Registro de accesos, anomalías y eventos relacionados con la seguridad

  • Registro de incidentes en un archivo de registro

  • Protección de los dispositivos de registro frente a accesos no autorizados

  • Revisión periódica de los registros de eventos

  • Replicación de registros en tres nodos de tres regiones distintas de Francia

  • Acceso a Datos personales por personal autorizado internamente mediante vpn y autenticación 2FA

  • Acceso a los datos restringido a los equipos de incorporación, servicio de atención al cliente y mantenimiento con la debida justificación

Disponibilidad y resistencia

  • Replicación de datos a través de dos nodos para bases de datos y tres nodos para almacenamiento AWS S3

  • Alojamiento de nodos en un centro de datos especializado

  • Capacidad de conmutación automática por error del servidor

  • Copias de seguridad realizadas cada hora

  • Comprobación diaria del proceso de recuperación

  • Cifrado HTTPS de las copias de seguridad durante la transferencia

  • Replicación de copias de seguridad tres con protección de acceso a través de AWS y el sistema de gestión de derechos de Kubernetes

Alojamiento y redes

  • Alojamiento proporcionado por Amazon Web Services en servidores ubicados en la UE, con certificación ISO 27001

  • Transmisión cifrada HTTPS de extremo a extremo entre el servidor y terceros

  • División funcional de la red PayFit en subredes para la seguridad: separación de los entornos de prueba y producción

  • Oficina administrativa de PayFit aislada de Internet salvo por un único punto de entrada proxy

  • Supervisión y registro del historial del sistema que almacena o procesa Datos personales

  • Sincronización de servidores mediante un servidor NTP de AWS

  • Partición de sitios web y redes Wi-Fi (HTTPS, TLS)

  • Partición de la red interna y externa

  • Acceso limitado a las herramientas e interfaces de administración

  • Realización de actualizaciones críticas sin demora

  • Instalación de herramientas de detección de vulnerabilidades

Protección de estaciones fijas y móviles

  • Bloqueo automático de sesiones, estaciones nómadas y móviles

  • Cortafuegos

  • Software antivirus actualizado periódicamente

  • Cifrado de dispositivos móviles y soportes de almacenamiento

  • Mecanismos y salvaguardias antirrobo y de protección de la intimidad

  • VPN obligatoria para el acceso remoto a la oficina administrativa

Seguridad de datos y flujos

  • Cifrado de archivos adjuntos

  • Cifrado de datos (hashing, protección de claves secretas...)

  • Cifrado de los datos alojados y transferidos

  • No transmisión de datos sensibles a los encargados del tratamiento

  • Transferencia de datos en TLS/SSL con HSTS y en modo de confidencialidad de transmisión perfecta

Seguridad física de los locales y lugares de almacenamiento de datos

  • Alarma antintrusión

  • Videovigilancia 24/7

  • Control de acceso (tarjetas de identificación, puertas y armarios cerrados, conservación del acceso físico durante 45 días)

  • Supervisión de visitantes

  • Protección contra incendios

Medidas de seguridad de la organización

Personal

  • Comprobación de los antecedentes de los solicitantes de conformidad con la normativa

  • Obligaciones de confidencialidad y carta informática

  • Formación obligatoria de los trabajadores en materia de seguridad

  • Aplicación de la matriz de responsabilidades RACI a cada tarea de desarrollo y gestión

Gestión de autorizaciones

  • Definición de los perfiles de autorización

  • Revisión anual de las autorizaciones

  • Eliminación de autorizaciones irrelevantes

Sensibilización del personal y confidencialidad de los datos

  • Concienciación del personal sobre los riesgos para la intimidad y la libertad

  • Compromiso de confidencialidad del personal

Cartografía de la tramitación y control de la conformidad

  • Nombramiento de un responsable de la protección de datos (RPD)

  • Registro de actividades de tratamiento (Artículo 30 del RGPD) actualizado periódicamente

  • Fiabilidad de los cálculos comprobada periódicamente mediante un sistema de verificación automática

  • Departamento jurídico dedicado al cumplimiento de la normativa

Seguridad de los Subencargados

  • Emplear únicamente Subencargados con garantías suficientes respecto a la normativa

  • Contrato de protección de datos celebrado con Subencargados del tratamiento (Artículo 28 del RGPD)

  • Verificación sistemática del cumplimiento normativo, financiero y de seguridad del proveedor al suministrar nuevos equipos de sistemas de información

Continuidad de los servicios

  • Puesta en marcha de un procedimiento para eventos de seguridad

  • Formación del personal sobre el procedimiento de seguridad

  • Transmisión de sucesos de seguridad a un equipo de emergencia

  • Análisis del suceso por un miembro del equipo de emergencia

  • Informar a todos los equipos de las causas y la consecuencia del incidente para evitar que se repita en el futuro

  • Revisión en profundidad por parte del equipo de mantenimiento, los departamentos pertinentes y, especialmente, el departamento jurídico y de comunicación

Recursos digitales

  • Política de seguridad de dispositivos centralizada (inventario, bloqueo automático, complejidad de contraseñas, cortafuegos, restricciones de instalación, actualización automática, bloqueo remoto)

  • Política centralizada de herramientas permitidas para procesar datos por tipo y clasificación

  • Acceso controlado al código fuente. Revisión paritaria de los cambios.

  • Derechos de acceso centralizados en todo el software SaaS

  • En caso de externalización: verificación de la seguridad y el cumplimiento.

Auditorías

  • Auditorías periódicas a través de Sentry y AWS Cloudtrail para evaluar la seguridad de la aplicación y las infraestructuras de PayFit

  • Implantación de un sistema de recompensas en HackerOne para identificar y reducir el riesgo en la seguridad de los datos mediante una invitación

  • Realización de una auditoría por parte de una organización tercera independiente como parte de la certificación ISO 27001

Directrices de seguridad 

  • Carta informática

  • Carta del usuario del SI

  • Carta del administrador del SI

  • Política de autorización y gestión de contraseñas

  • Política de seguridad de los sistemas de información («PSSI»)

  • Procedimiento de gestión de incidentes

  • Procedimiento de gestión del incumplimiento de datos personales

  • Informes de auditoría de seguridad

  • Adquisición de una póliza de seguro cibernético

  • Certificaciones: ISO 27001