Política de seguridad.

En Paylead somos plenamente conscientes de la importancia de vuestros datos. Por eso estamos comprometidos a desarrollar los mejores sistemas de seguridad posibles.
En nuestro equipo, todos compartimos la convicción de que la transparencia es esencial para la construcción de una relación de confianza. Es la razón por la cual es importante para nosotros que entiendas el cuidado que empleamos en la protección de tus datos personales.
Por tanto, te rogamos que leas atentamente la siguiente información y comprendas nuestra exigencia en cuestión de seguridad y protección.
Asimismo, sabemos perfectamente que la lectura de este tipo de documentos es generalmente larga y fastidiosa. Por eso nos esforzamos en redactar para ti un contenido corto, simple, destacando la información que es necesario que conozcas.
Queremos que nuestra comunicación en cuestión de seguridad sea totalmente transparente y nos esforzamos para que sea accesible e inteligible para todos.

La protección de los datos

Con el fin de asegurar la protección de los datos personales, implementamos varios mecanismos de protección. Entre estas protecciones, podemos destacar:

  • Unas redes privadas e independientes para nuestras infraestructuras de back-end

Sólo el mínimo imprescindible es expuesto en Internet: nuestros conectores de API. Todos los servidores en los cuales está basado el API están aislados del resto del mundo y no son accesibles directamente desde Internet. Esto permite reducir y delimitar considerablemente la superficie de ataque.

  • El uso de cortafuegos (firewall) en la totalidad de nuestros servidores

Con el fin de asegurar un nivel de protección óptimo, cada servidor limita los accesos a sus servicios. Hemos implementado restricciones de puerto y un mecanismo de whitelist basado en la dirección IP o en la totalidad de las máquinas (también conocido como grupo de seguridad) para el control. Esta especificidad también está instalada en nuestras redes aisladas para evitar todo riesgo de propagación lateral en caso de que uno de los servidores se viera comprometido.

Adicionalmente, y en los entornos que nos lo permiten, añadimos sistemas intermedios de filtrado entre cada servidor para aplicar el principio de defensa en profundidad.

  • Una política estricta de "zero trust network"

Vigilamos constantemente el estado de uso de nuestras máquinas y de nuestros servicios. Así, en caso de actividad sospechosa, tenemos capacidad para detectarlo inmediatamente y reaccionar.

  • Una política estricta de "zero trust network"

Damos por sentado que la capa de red no debe considerarse como segura sea cual sea el sitio donde se encuentra.

Así pues, la red de nuestros locales no se beneficia de ninguna excepción en las reglas de cortafuego. Solo un subconjunto de máquinas está autorizado para funcionar como maquina “de rebote” con el fin de administrar nuestros servidores. Estas máquinas también están monitorizadas.

No obstante, la seguridad de las comunicaciones pasa también por los métodos utilizados para comunicarnos con nuestras máquinas. Por defecto, solo utilizamos y autorizamos las comunicaciones que usan conexiones seguras vía TLS v1.2. Asimismo, hemos configurado nuestros servidores para que solo usen mecanismos de cifrado recientes, robustos y seguros (AES-256).

  • Auditorías y un acceso fácil a los datos en caso de necesidad

Hemos configurado nuestros servicios para que los registros de actividad queden respaldados en un “data sink”. Este equipo se encarga de agregar la totalidad de los registros de nuestras máquinas y se asegura de que, en caso de incidente, los elementos más importantes estarán disponibles y rápidamente accesibles.

El acceso a los datos de producción está reservado a un número limitado de personas identificadas y bajo validación de los equipos de seguridad tras la verificación del motivo de este acceso.

Todos los accesos a los datos y a los servidores de datos son, en efecto, registrados y conservados.

  • La formación de nuestros equipos es nuestra prioridad

Porque sabemos que el eslabón más débil de la seguridad siempre será el factor humano, sensibilizamos a cada recién llegado sobre la seguridad mediante una formación. Esta formación permite presentar los riesgos de base, así como las respuestas a aplicar en caso de sospecha de actividad malintencionada.

Protección continua

A fin de asegurar la protección de nuestras infraestructuras ininterrumpidamente, usamos sistemas de vigilancia que generan alertas en tiempo real para que nuestros equipos sean informados de forma inmediata.

Además, una o dos veces al año, sometemos nuestros API y nuestros servidores a auditorias de seguridad para garantizar que las posibles vulnerabilidades existentes puedan ser detectadas y controladas cuanto antes.

También implementamos un sistema de “bug bounty” que permite testear nuestras infraestructuras a cualquier investigador de seguridad independiente según los limites definidos dentro de los términos del contrato con Hacker One.

¿Quieres ayudarnos? ¿Tienes un error que señalarnos? Visita esta página e ¡intenta ganar una recompensa!

Si deseas reportar una vulnerabilidad sin pasar por nuestra plataforma de Bug Bounty, puedes contactar con nosotros en la dirección siguiente: security@paylead.fr .  

Certificación

Los trabajos de certificación están en curso. Pronto estaremos listos para mostrar un nuevo pictograma por aquí, ¡Estate atento!

PayLead ha entablado un largo proceso para obtener una certificación ISO 27001. Estimamos que llegaremos a una validación por parte de auditorías independientes a lo largo del 2020.

¿Tienes más preguntas? ¡Hablemos de ellas!

Para cualquier pregunta relacionada con la seguridad de nuestros datos o de nuestra infraestructura, puedes contactar con nosotros en la siguiente dirección de correo electrónico:security@paylead.fr, estaremos ahí para escucharte y encantados de ayudarte.