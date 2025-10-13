Medidas técnicas de seguridad

Medidas de autenticación

Identificador único por usuario

Cumplimiento de las recomendaciones francesas de Protección de Datos sobre contraseñas (autenticación fuerte, limitación del número de intentos de acceso, renovación periódica de contraseñas, almacenamiento seguro de contraseñas…)

Autenticación 2FA

Registro de accesos y gestión de incidencias

Registro de accesos, anomalías y eventos relacionados con la seguridad

Registro de incidentes en un archivo de registro

Protección de los dispositivos de registro frente a accesos no autorizados

Revisión periódica de los registros de eventos

Replicación de registros en tres nodos de tres regiones distintas de Francia

Acceso a Datos personales por personal autorizado internamente mediante vpn y autenticación 2FA

Acceso a los datos restringido a los equipos de incorporación, servicio de atención al cliente y mantenimiento con la debida justificación

Disponibilidad y resistencia

Replicación de datos a través de dos nodos para bases de datos y tres nodos para almacenamiento AWS S3

Alojamiento de nodos en un centro de datos especializado

Capacidad de conmutación automática por error del servidor

Copias de seguridad realizadas cada hora

Comprobación diaria del proceso de recuperación

Cifrado HTTPS de las copias de seguridad durante la transferencia

Replicación de copias de seguridad tres con protección de acceso a través de AWS y el sistema de gestión de derechos de Kubernetes

Alojamiento y redes

Alojamiento proporcionado por Amazon Web Services en servidores ubicados en la UE, con certificación ISO 27001

Transmisión cifrada HTTPS de extremo a extremo entre el servidor y terceros

División funcional de la red PayFit en subredes para la seguridad: separación de los entornos de prueba y producción

Oficina administrativa de PayFit aislada de Internet salvo por un único punto de entrada proxy

Supervisión y registro del historial del sistema que almacena o procesa Datos personales

Sincronización de servidores mediante un servidor NTP de AWS

Partición de sitios web y redes Wi-Fi (HTTPS, TLS)

Partición de la red interna y externa

Acceso limitado a las herramientas e interfaces de administración

Realización de actualizaciones críticas sin demora

Instalación de herramientas de detección de vulnerabilidades

Protección de estaciones fijas y móviles

Bloqueo automático de sesiones, estaciones nómadas y móviles

Cortafuegos

Software antivirus actualizado periódicamente

Cifrado de dispositivos móviles y soportes de almacenamiento

Mecanismos y salvaguardias antirrobo y de protección de la intimidad

VPN obligatoria para el acceso remoto a la oficina administrativa

Seguridad de datos y flujos

Cifrado de archivos adjuntos

Cifrado de datos (hashing, protección de claves secretas…)

Cifrado de los datos alojados y transferidos

No transmisión de datos sensibles a los encargados del tratamiento

Transferencia de datos en TLS/SSL con HSTS y en modo de confidencialidad de transmisión perfecta

Seguridad física de los locales y lugares de almacenamiento de datos

Alarma antintrusión

Videovigilancia 24/7

Control de acceso (tarjetas de identificación, puertas y armarios cerrados, conservación del acceso físico durante 45 días)

Supervisión de visitantes

Protección contra incendios

Medidas de seguridad de la organización

Personal

Comprobación de los antecedentes de los solicitantes de conformidad con la normativa

Obligaciones de confidencialidad y carta informática

Formación obligatoria de los trabajadores en materia de seguridad

Aplicación de la matriz de responsabilidades RACI a cada tarea de desarrollo y gestión

Gestión de autorizaciones

Definición de los perfiles de autorización

Revisión anual de las autorizaciones

Eliminación de autorizaciones irrelevantes

Sensibilización del personal y confidencialidad de los datos

Concienciación del personal sobre los riesgos para la intimidad y la libertad

Compromiso de confidencialidad del personal

Cartografía de la tramitación y control de la conformidad

Nombramiento de un responsable de la protección de datos (RPD)

Registro de actividades de tratamiento (Artículo 30 del RGPD) actualizado periódicamente

Fiabilidad de los cálculos comprobada periódicamente mediante un sistema de verificación automática

Departamento jurídico dedicado al cumplimiento de la normativa

Seguridad de los Subencargados

Emplear únicamente Subencargados con garantías suficientes respecto a la normativa

Contrato de protección de datos celebrado con Subencargados del tratamiento (Artículo 28 del RGPD)

Verificación sistemática del cumplimiento normativo, financiero y de seguridad del proveedor al suministrar nuevos equipos de sistemas de información

Continuidad de los servicios

Puesta en marcha de un procedimiento para eventos de seguridad

Formación del personal sobre el procedimiento de seguridad

Transmisión de sucesos de seguridad a un equipo de emergencia

Análisis del suceso por un miembro del equipo de emergencia

Informar a todos los equipos de las causas y la consecuencia del incidente para evitar que se repita en el futuro

Revisión en profundidad por parte del equipo de mantenimiento, los departamentos pertinentes y, especialmente, el departamento jurídico y de comunicación

Recursos digitales

Política de seguridad de dispositivos centralizada (inventario, bloqueo automático, complejidad de contraseñas, cortafuegos, restricciones de instalación, actualización automática, bloqueo remoto)

Política centralizada de herramientas permitidas para procesar datos por tipo y clasificación

Acceso controlado al código fuente. Revisión paritaria de los cambios.

Derechos de acceso centralizados en todo el software SaaS

En caso de externalización: verificación de la seguridad y el cumplimiento.

Auditorías

Auditorías periódicas a través de Sentry y AWS Cloudtrail para evaluar la seguridad de la aplicación y las infraestructuras de PayFit

Implantación de un sistema de recompensas en HackerOne para identificar y reducir el riesgo en la seguridad de los datos mediante una invitación

Realización de una auditoría por parte de una organización tercera independiente como parte de la certificación ISO 27001

Directrices de seguridad