Con PagoFácil, tus transacciones y datos están seguros
En días pasados, se difundió en medios de comunicación la noticia de que uno de los sistemas de pago por teléfono inteligente más conocidos de México habría sufrido una pérdida de datos personales por una labor de hackeo, perpetrada sobre sus servidores.
por Gricha Raether Palma
Aunque este episodio aparentemente no resultó en el robo de datos sensibles, como lo son números de tarjetas de crédito o cuentas bancarias, sin duda proporciona un urgente recordatorio de la importancia de contar con sistemas, protocolos y procedimientos robustos en lo que a seguridad informática y prevención de pérdida de datos se refiere.
Tan sólo en 2019 se expusieron 164 millones de datos de clientes en Estados Unidos, mientras que, a nivel mundial, esto asciende a más de 4 mil millones de datos. Esto es particularmente preocupante, cuando por la pandemia el comercio electrónico ha crecido sustancialmente, donde tan sólo en México las transacciones aumentaron en más del 60%. Entre las empresas que sufren estos incidentes, se encuentran bancos y otras entidades financieras, instituciones de gobierno, incluyendo organizaciones de inteligencia. Mantener altos niveles de seguridad, requiere integrar estrictos procesos y una manera diferente de operar el día a día, enfocada a que la integridad de la información sea siempre la primera prioridad.
Entendiendo lo delicado y serio que es el manejo de información personal y financiera, y siendo PagoFácil uno de los agregadores de cobros con más crecimiento en México, al iniciar sus operaciones, decidió ser líder en el manejo seguro de datos, de manera que nuestros clientes pueden tener la certeza de que su información está totalmente protegida bajo las más estrictas normas de seguridad. Esto incluye y aplica a personas externas e internas a nuestra propia organización. Desde 2009, nuestra organización ha operado y brindando la gama más amplia en soluciones de procesamiento de pago, jamás hemos sido víctimas de intrusiones, hackeo o pérdida de datos de nuestros clientes.
Nuestros sistemas incluyen lo último en tecnología a prueba de intrusión para separar y aislar los datos de las tarjetas. Nuestra red física y lógica está segmentada, controlando y limitando el tráfico de datos, de manera que sólo puedan acceder a información sensible quienes realmente la requieran. Para los equipos de cómputo de nuestros empleados y proveedores, habilitamos únicamente los puertos, protocolos y servicios necesarios para cumplir con las necesidades del negocio, y exigimos configuraciones de seguridad personal en los dispositivos móviles.
De igual manera, aplicamos los más altos estándares de configuración de los componentes de nuestra infraestructura, como lo son servidores, componentes de red, sistemas operativos, y así cumplir con los controles de seguridad de acuerdo con las mejores prácticas de la industria.
Un aspecto fundamental para evitar la pérdida de datos sensibles es la práctica de cifrado o encriptación de bases de datos, que implica el uso de algoritmos para proteger los datos de las tarjetas almacenadas en las bases de datos, donde se usa una estricta gestión de llaves criptográficas, custodios y almacenado de llaves, evitando que una sola persona tenga acceso unilateral a la información.
Así como las bases de datos, la transmisión de datos entre nuestros sistemas internos, o hacia el exterior en el caso de instituciones financieras, es 100% cifrada y segura, lográndose a través del uso de protocolos seguros, conexiones VPN y certificados digitales. Más allá del uso de software antivirus en todos nuestros equipos, llevamos a cabo pruebas de penetración, pruebas de segmentación y utilizamos a proveedores externos de hackeo ético periódicos, con el propósito de encontrar cualquier posible vulnerabilidad, en nuestra infraestructura que pudiese exponer información a terceros.
Nuestro equipo de desarrollo cuenta con capacitaciones continuas en prácticas de desarrollo, minimizando vulnerabilidades de programación. Estas técnicas, tomando como referencia el top 10 del Proyecto Abierto de Seguridad de Aplicaciones Web u OWASP, por sus siglas en inglés, que, junto con sistemas de desarrollo y producción separados y segregación de funciones, hacen de nuestro entorno de desarrollo, uno de los más seguros en la industria.
Nuestra seguridad va más allá del mundo lógico o computacional. Contamos con estrictos protocolos de control de acceso, discriminando entre control de usuarios operativos, administrativos, usuarios para sesiones remotas internas y de proveedores, usuarios de bases de datos y de cualquier componente dentro del alcance; así como todos los roles y privilegios para cada uno de los usuarios, validación de perfiles con la asignación de sus privilegios.
Nuestros colaboradores están sujetos a las mejores prácticas en cuanto a políticas de contraseñas se refiere, incluyendo lineamientos sobre complejidad de contraseñas, longitud de contraseñas, tiempo de expiración de sesiones, bloqueo de cuentas por accesos fallidos, duración de bloqueo, reseteo de contraseñas. Usamos la política de gestión de autenticación doble factor, además procesos de validación semestral de usuarios dados de baja.
Nuestras instalaciones físicas cuentan con avanzados sistemas digitales de control de acceso, sistema cerrado de monitoreo CCTV y controles de acceso para empleados y visitantes; incluso, aseguramos la correcta gestión y resguardo de medios electrónicos como discos duros, cintas de respaldo, TPV (anti skimming), etcétera.
Nuestros auditores internos llevan a cabo monitoreo y revisiones recurrentes de los logs de auditoría, analizando los accesos de usuarios administrativos, intentos de accesos no válidos, acceso a logs de auditoría, aumentos de privilegios, creación o eliminación de objetos en el entorno de datos de tarjeta y más; complementando este proceso con el uso de IDS/IPs para así prevenir incidentes de seguridad.
En PagoFácil entendemos que la seguridad lógica no aporta mucho si la gestión humana falla. Es por esto, que nuestros proveedores y hasta clientes pasan por un estricto, pero ágil y eficiente proceso de análisis durante la contratación y onboarding. El proceso de reclutamiento de nuestro personal, en particular de quienes manejan datos de cuentas y tarjetas bancarias, se someten a un minucioso proceso de contratación para garantizar que no están sujetos a presiones o nexos de individuos u organizaciones que pudieran presentar presiones o vulnerabilidades externas.
Todos estos procesos resultan en que PagoFácil cuenta con el nivel 1 de PCI DSS, que representa el grado más alto del estricto estándar de seguridad que define el conjunto de requerimientos para gestionar la seguridad, definir políticas y procedimientos de seguridad, arquitectura de red, diseño de software y todo tipo de medidas de protección que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito.
La seguridad de la información de nuestros clientes, junto con la continua renovación y expansión de servicios y el enfoque total en la atención al cliente, hacen de PagoFácil la solución más versátil y amigable en el mercado de procesadores de pagos electrónicos y de efectivo.
Visita nuestra página www.pagofacil.net y conoce el abanico de servicios que tu negocio podrá utilizar al ser parte de nuestra plataforma.
PagoFácil, la manera más rápida, sencilla y segura de recibir pagos.
Acerca del autor
Gricha Raether Palma tiene más de 20 años de experiencia en negocios internacionales con amplia experiencia en marketing, ventas, consultoría en gestión de negocios, así como dirección de desarrollo de ingeniería. Antes de mudarse a México, en 2010, vivió en Austin, Texas durante 13 años, donde fue Director de Ventas y Marketing en una de las consultoras de defensa más grandes de EE. UU. y además candidato al Congreso Federal por Texas.
Desde 2010, ha ocupado el cargo de Director General en empresas de Fintech o tecnología financiera, siendo Presidente de PagoFácil su posición actual. Se graduó como Ing. en Sistemas Electrónicos del Tec de Monterrey, obtuvo un MBA de la Universidad de Baylor en Texas y, posteriormente, recibió varias certificaciones de Alta Dirección por parte del IPADE.
Gricha es mitad alemán y mitad mexicano, y además de sus actividades profesionales, es el presidente de la Asociación de Colonos de La Herradura, el representante del Partido Demócrata Norteamericano en México, profesor de negocios internacionales en la Universidad Anáhuac, y Presidente y Fundador de la Fundación Mexicana de Tourette.