La seguridad de tus datos es nuestra prioridad

En PayFit, la seguridad de tus datos es nuestra prioridad y trabajamos para que tu empresa esté protegida. PayFit está certificado por la ISO 27001 por un auditor independiente.

Trust center de PayFit

Descubre cómo PayFit garantiza la seguridad y privacidad de tus datos. Visita nuestro Trust center para saber más sobre nuestras sólidas medidas de seguridad, estándares de cumplimiento y nuestro compromiso con la protección de tu información.

Seguridad

PayFit se compromete globalmente con cada aspecto de la seguridad de tus datos: empleados, seguridad física, acceso a los datos, alojamiento y redes, registros, disponibilidad, auditorías.

Confidencialidad

Para preservar la seguridad de tu cuenta, el acceso está respaldado por varios mecanismos de protección: tus datos están encriptados tanto en tránsito como en reposo en nuestras bases de datos.

Integridad

PayFit controla estrictamente el acceso a tus datos, tanto en línea como internamente, para garantizar que tus documentos estén protegidos contra cualquier alteración. Y para mayor seguridad, cada hora son guardados.

Disponibilidad

Tus datos se replican en tiempo real en 3 centros de datos diferentes en Francia, y se cambian automáticamente en pocos segundos de uno a otro en caso de incidente.

Nuestra política de protección de datos

  • Revisión del historial de cada candidato.

  • Requisito para todos los empleados de la firma de un acuerdo de confidencialidad y de seguimiento de la política interna digital.

  • Asegurar las políticas de seguridad globalmente mediante una herramienta centralizada con capacidad de monitoreo y parametrización.

  • Entrenamiento regular de seguridad para todos los empleados y revisión trimestral de las políticas internas de seguridad.

  • Seguimiento de una matriz RACI para cada tarea de desarrollo y control con el fin de separar y distribuir las funciones de desarrollo, consultoría y validación.

  • Acceso protegido a las oficinas de PayFit mediante tarjetas de identificación individuales.

  • Seguimiento 24 horas de las instalaciones de PayFit mediante un sistema de alarma y videovigilancia.

  • Historial de acceso físico a las instalaciones guardado durante 45 días.

  • Supervisión directa de los visitantes por un miembro de PayFit durante su visita.

  • Gestión centralizada con capacidades globales de inventario, supervisión y alerta a nivel global.

  • La política de seguridad de dispositivos se aplica y gestiona de forma global (bloqueo automático, complejidad y rotación de contraseñas, protección en tiempo real contra programas maliciosos, cortafuegos, cifrado de discos, restricción de la instalación de software, actualizaciones automáticas, bloqueo y eliminación a distancia).

  • Política global de herramientas autorizadas por tipo de información y marco de clasificación.

  • Acceso al código fuente estrictamente controlado, con revisión sistemática por pares durante la fusión de nuevos códigos.

  • Gestión centralizada de derechos en todos los "Software como un servicio".

  • Política de aprovisionamiento global obligatoria previa a la contratación de cualquier proveedor, con autorización sistemática de seguridad, legal y financiera.

  • Alojamiento de todos los datos, incluidas las copias de seguridad, en Francia.

  • Cifrado de todos los datos, incluidas las copias de seguridad, durante la transmisión y el almacenamiento, y anonimización de los datos confidenciales o no confidenciales transmitidos a los subcontratistas.

  • Autenticación obligatoria de los usuarios por correo electrónico y contraseña (controlada por una política estricta), con un segundo factor de autenticación opcional (2FA) enviado por SMS.

  • Acceso a los datos internos reservado a los empleados debidamente autorizados, a través de una RPV, protegida por un segundo factor de autenticación (2FA).

  • Transmisión de datos únicamente mediante el protocolo TLS/SSL, reforzado por los mecanismos HSTS y Perfect Forward Secrecy. Los certificados PayFit han sido clasificados como "A" por las pruebas de los laboratorios SSL.

  • Restricción del acceso a los datos de los clientes a determinados equipos, con la condición expresa de que dicho acceso sea proporcional a su misión y esté justificado por ella. Archivo sistemático de dicho acceso.

  • Controles regulares de los sistemas de gestión de las nóminas por parte de los mejores expertos en la materia (entre ellos Pierre-Jean Fabas, redactor jefe de legisocial.fr).

  • Procedimientos automáticos de prueba y verificación para asegurar la consistencia de los cálculos.

  • Seguimiento del marco jurídico y contractual por un equipo interno especializado.

  • Alojamiento proporcionado por Amazon Web Services, certificado ISO 27001.

  • Cifrado de cualquier transmisión entre clientes y servidores de extremo a extremo utilizando el protocolo HTTPS.

  • Subdivisión de la red PayFit en subredes, cada una asignada a una función específica, para ayudar a mejorar el rendimiento y la seguridad general.

  • Separación estricta de los entornos de prueba y producción.

  • Aislamiento de la red PayFit de Internet, con la excepción de un único punto de entrada (proxy). Cada punto dentro de la red está protegido por estrictas reglas de firewall.

  • Protección del acceso a los sistemas PayFit por parte de las políticas de gestión de derechos de AWS y Kubernetes.

  • El acceso a los datos, sólo por parte de los miembros autorizados de PayFit, requiere el uso de una RPV, protegida por un segundo factor de autenticación (2FA).

  • Transmisión de datos desde sistemas que gestionan sistemáticamente los datos personales archivados.

  • Sincronización de todos los servidores entre sí mediante un servidor NTP de AWS.

  • Implementación de registros de auditoría para identificar y archivar todos los accesos a los sistemas, así como todos los accesos y modificaciones de datos sobre estos sistemas.

  • Identificación y archivo por separado de todos los eventos técnicos del sistema, como los errores.

  • Acceso a los registros a través de un nombre de dominio dedicado, protegido por RPV, contraseña y un segundo factor de autenticación (2FA) requerido.

  • La información de acceso es replicada 3 veces en 3 lugares diferentes en Francia (servidores AWS, certificados ISO 27001), cambiando automáticamente de uno a otro en caso de incidente.

  • Retención de los registros de auditoría fijada en un año.

  • Replicación continua de todos los datos en 2 nodos para bases de datos y 3 nodos para almacenamiento en AWS S3. Cada nodo está alojado en un centro de datos específico, geográficamente separado de los demás: en el caso de un incidente en un centro de datos, los datos almacenados allí se replican automáticamente en los otros centros de datos.

  • Copias de seguridad automáticas cada hora. Prueba diaria del proceso de recuperación de copias de seguridad.

  • Transmisión de copias de seguridad cifradas de extremo a extremo utilizando el protocolo HTTPS.

  • Replicación de copias de seguridad 3 veces. Protección de acceso a través de las políticas de gestión de derechos de AWS y Kubernetes.

  • PayFit ha implementado un procedimiento formal para eventos de seguridad y ha educado internamente a todos los miembros del personal sobre el tema.

  • Cuando se detectan eventos de seguridad, se elevan a nuestro alias de emergencia, se llama a los equipos, se les notifica y se los reúne para abordar rápidamente el evento.

  • El análisis se revisa en persona, se distribuye por toda la empresa e incluye elementos de actuación que facilitarán la detección y prevención de un evento similar en el futuro.

  • Los eventos de seguridad deben ser revisados sistemáticamente para su cierre por los departamentos de ingeniería, seguridad, legal, comunicación y, en su caso, específicamente interesados.

  • Uso de tecnologías como Sentry y AWS Cloudtrail para generar registros de auditoría de aplicaciones e infraestructura. Análisis de seguridad ad-hoc, identificación de cambios en las configuraciones de PayFit.

  • Uso de un programa para descubrir bugs en HackerOne, para identificar y poner remedio a posibles amenazas para la seguridad. El acceso a este programa es posible solamente a través de una invitación.

ISO 27001

Estamos comprometidos con la seguridad de tus datos y con la implementación de las mejores prácticas de seguridad. Contamos con la certificación ISO 27001.

Programa de recompensas para bugs

Nos interesan las investigaciones sobre nuestros sistemas y valoramos cualquier descubrimiento documentado. Para ello, ejecutamos un programa privado de recompensas de errores en HackerOne, para poder identificar y gestionar las amenazas a la seguridad.