La seguridad de tus datos es nuestra prioridad

En PayFit, la seguridad de tus datos es nuestra prioridad y trabajamos para que tu empresa esté protegida. PayFit está certificado por la ISO 27001 por un auditor independiente.

Seguridad

PayFit se compromete globalmente con cada aspecto de la seguridad de tus datos: empleados, seguridad física, acceso a los datos, alojamiento y redes, registros, disponibilidad, auditorías.

Confidencialidad

Para preservar la seguridad de tu cuenta, el acceso está respaldado por varios mecanismos de protección: tus datos están encriptados tanto en tránsito como en reposo en nuestras bases de datos.

Integridad

PayFit controla estrictamente el acceso a tus datos, tanto en línea como internamente, para garantizar que tus documentos estén protegidos contra cualquier alteración. Y para mayor seguridad, cada hora son guardados.

Disponibilidad

Tus datos se replican en tiempo real en 3 centros de datos diferentes en Francia, y se cambian automáticamente en pocos segundos de uno a otro en caso de incidente.

Nuestra política de protección de datos

Empleados

  • Revisión del historial de cada candidato.

  • Requisito para todos los empleados de la firma de un acuerdo de confidencialidad y de seguimiento de la política interna digital.

  • Asegurar las políticas de seguridad globalmente mediante una herramienta centralizada con capacidad de monitoreo y parametrización.

  • Entrenamiento regular de seguridad para todos los empleados y revisión trimestral de las políticas internas de seguridad.

  • Seguimiento de una matriz RACI para cada tarea de desarrollo y control con el fin de separar y distribuir las funciones de desarrollo, consultoría y validación.

Seguridad física

  • Acceso protegido a las oficinas de PayFit mediante tarjetas de identificación individuales.

  • Seguimiento 24 horas de las instalaciones de PayFit mediante un sistema de alarma y videovigilancia.

  • Historial de acceso físico a las instalaciones guardado durante 45 días.

  • Supervisión directa de los visitantes por un miembro de PayFit durante su visita.

Gestión de bienes

  • Gestión centralizada con capacidades globales de inventario, supervisión y alerta a nivel global.

  • La política de seguridad de dispositivos se aplica y gestiona de forma global (bloqueo automático, complejidad y rotación de contraseñas, protección en tiempo real contra programas maliciosos, cortafuegos, cifrado de discos, restricción de la instalación de software, actualizaciones automáticas, bloqueo y eliminación a distancia).

  • Política global de herramientas autorizadas por tipo de información y marco de clasificación.

  • Acceso al código fuente estrictamente controlado, con revisión sistemática por pares durante la fusión de nuevos códigos.

  • Gestión centralizada de derechos en todos los "Software como un servicio".

  • Política de aprovisionamiento global obligatoria previa a la contratación de cualquier proveedor, con autorización sistemática de seguridad, legal y financiera.

Datos

  • Alojamiento de todos los datos, incluidas las copias de seguridad, en Francia.

  • Cifrado de todos los datos, incluidas las copias de seguridad, durante la transmisión y el almacenamiento, y anonimización de los datos confidenciales o no confidenciales transmitidos a los subcontratistas.

  • Autenticación obligatoria de los usuarios por correo electrónico y contraseña (controlada por una política estricta), con un segundo factor de autenticación opcional (2FA) enviado por SMS.

  • Acceso a los datos internos reservado a los empleados debidamente autorizados, a través de una RPV, protegida por un segundo factor de autenticación (2FA).

  • Transmisión de datos únicamente mediante el protocolo TLS/SSL, reforzado por los mecanismos HSTS y Perfect Forward Secrecy. Los certificados PayFit han sido clasificados como "A" por las pruebas de los laboratorios SSL.

  • Restricción del acceso a los datos de los clientes a determinados equipos, con la condición expresa de que dicho acceso sea proporcional a su misión y esté justificado por ella. Archivo sistemático de dicho acceso.

Legal

  • Controles regulares de los sistemas de gestión de las nóminas por parte de los mejores expertos en la materia (entre ellos Pierre-Jean Fabas, redactor jefe de legisocial.fr).

  • Procedimientos automáticos de prueba y verificación para asegurar la consistencia de los cálculos.

  • Seguimiento del marco jurídico y contractual por un equipo interno especializado.

Alojamiento y Redes

  • Alojamiento proporcionado por Amazon Web Services, certificado ISO 27001.

  • Cifrado de cualquier transmisión entre clientes y servidores de extremo a extremo utilizando el protocolo HTTPS.

  • Subdivisión de la red PayFit en subredes, cada una asignada a una función específica, para ayudar a mejorar el rendimiento y la seguridad general.

  • Separación estricta de los entornos de prueba y producción.

  • Aislamiento de la red PayFit de Internet, con la excepción de un único punto de entrada (proxy). Cada punto dentro de la red está protegido por estrictas reglas de firewall.

  • Protección del acceso a los sistemas PayFit por parte de las políticas de gestión de derechos de AWS y Kubernetes.

  • El acceso a los datos, sólo por parte de los miembros autorizados de PayFit, requiere el uso de una RPV, protegida por un segundo factor de autenticación (2FA).

  • Transmisión de datos desde sistemas que gestionan sistemáticamente los datos personales archivados.

  • Sincronización de todos los servidores entre sí mediante un servidor NTP de AWS.

Acceso

  • Implementación de registros de auditoría para identificar y archivar todos los accesos a los sistemas, así como todos los accesos y modificaciones de datos sobre estos sistemas.

  • Identificación y archivo por separado de todos los eventos técnicos del sistema, como los errores.

  • Acceso a los registros a través de un nombre de dominio dedicado, protegido por RPV, contraseña y un segundo factor de autenticación (2FA) requerido.

  • La información de acceso es replicada 3 veces en 3 lugares diferentes en Francia (servidores AWS, certificados ISO 27001), cambiando automáticamente de uno a otro en caso de incidente.

  • Retención de los registros de auditoría fijada en un año.

Disponibilidad y Resiliencia

  • Replicación continua de todos los datos en 2 nodos para bases de datos y 3 nodos para almacenamiento en AWS S3. Cada nodo está alojado en un centro de datos específico, geográficamente separado de los demás: en el caso de un incidente en un centro de datos, los datos almacenados allí se replican automáticamente en los otros centros de datos.

  • Copias de seguridad automáticas cada hora. Prueba diaria del proceso de recuperación de copias de seguridad.

  • Transmisión de copias de seguridad cifradas de extremo a extremo utilizando el protocolo HTTPS.

  • Replicación de copias de seguridad 3 veces. Protección de acceso a través de las políticas de gestión de derechos de AWS y Kubernetes.

Respuesta a incidentes

  • PayFit ha implementado un procedimiento formal para eventos de seguridad y ha educado internamente a todos los miembros del personal sobre el tema.

  • Cuando se detectan eventos de seguridad, se elevan a nuestro alias de emergencia, se llama a los equipos, se les notifica y se los reúne para abordar rápidamente el evento.

  • El análisis se revisa en persona, se distribuye por toda la empresa e incluye elementos de actuación que facilitarán la detección y prevención de un evento similar en el futuro.

  • Los eventos de seguridad deben ser revisados sistemáticamente para su cierre por los departamentos de ingeniería, seguridad, legal, comunicación y, en su caso, específicamente interesados.

Auditoría de Seguridad

  • Uso de tecnologías como Sentry y AWS Cloudtrail para generar registros de auditoría de aplicaciones e infraestructura. Análisis de seguridad ad-hoc, identificación de cambios en las configuraciones de PayFit.

  • Uso de un programa para descubrir bugs en HackerOne, para identificar y poner remedio a posibles amenazas para la seguridad. El acceso a este programa es posible solamente a través de una invitación.

ISO 27001

Estamos comprometidos con la seguridad de tus datos y con la implementación de las mejores prácticas de seguridad. Contamos con la certificación ISO 27001.

Programa de recompensas para bugs

Nos interesan las investigaciones sobre nuestros sistemas y valoramos cualquier descubrimiento documentado. Para ello, ejecutamos un programa privado de recompensas de errores en HackerOne, para poder identificar y gestionar las amenazas a la seguridad.