Política de seguridad.
En Paylead somos plenamente conscientes de la importancia de vuestros datos. Por eso estamos comprometidos a desarrollar los mejores sistemas de seguridad posibles.
En nuestro equipo, todos compartimos la convicción de que la transparencia es esencial para la construcción de una relación de confianza. Es la razón por la cual es importante para nosotros que entiendas el cuidado que empleamos en la protección de tus datos personales.
Por tanto, te rogamos que leas atentamente la siguiente información y comprendas nuestra exigencia en cuestión de seguridad y protección.
Asimismo, sabemos perfectamente que la lectura de este tipo de documentos es generalmente larga y fastidiosa. Por eso nos esforzamos en redactar para ti un contenido corto, simple, destacando la información que es necesario que conozcas.
Queremos que nuestra comunicación en cuestión de seguridad sea totalmente transparente y nos esforzamos para que sea accesible e inteligible para todos.
La protección de los datos
Con el fin de asegurar la protección de los datos personales, implementamos varios mecanismos de protección. Entre estas protecciones, podemos destacar:
- Unas redes privadas e independientes para nuestras infraestructuras de back-end
Sólo el mínimo imprescindible es expuesto en Internet: nuestros conectores de API. Todos los servidores en los cuales está basado el API están aislados del resto del mundo y no son accesibles directamente desde Internet. Esto permite reducir y delimitar considerablemente la superficie de ataque.
- El uso de cortafuegos (firewall) en la totalidad de nuestros servidores
Con el fin de asegurar un nivel de protección óptimo, cada servidor limita los accesos a sus servicios. Hemos implementado restricciones de puerto y un mecanismo de whitelist basado en la dirección IP o en la totalidad de las máquinas (también conocido como grupo de seguridad) para el control. Esta especificidad también está instalada en nuestras redes aisladas para evitar todo riesgo de propagación lateral en caso de que uno de los servidores se viera comprometido.
Adicionalmente, y en los entornos que nos lo permiten, añadimos sistemas intermedios de filtrado entre cada servidor para aplicar el principio de defensa en profundidad.
- Una política estricta de "zero trust network"
Vigilamos constantemente el estado de uso de nuestras máquinas y de nuestros servicios. Así, en caso de actividad sospechosa, tenemos capacidad para detectarlo inmediatamente y reaccionar.
- Una política estricta de "zero trust network"
Damos por sentado que la capa de red no debe considerarse como segura sea cual sea el sitio donde se encuentra.
Así pues, la red de nuestros locales no se beneficia de ninguna excepción en las reglas de cortafuego. Solo un subconjunto de máquinas está autorizado para funcionar como maquina “de rebote” con el fin de administrar nuestros servidores. Estas máquinas también están monitorizadas.
No obstante, la seguridad de las comunicaciones pasa también por los métodos utilizados para comunicarnos con nuestras máquinas. Por defecto, solo utilizamos y autorizamos las comunicaciones que usan conexiones seguras. Asimismo, hemos configurado nuestros servidores para que solo usen mecanismos de cifrado recientes, robustos y seguros.
- Auditorías y un acceso fácil a los datos en caso de necesidad
Hemos configurado nuestros servicios para que los registros de actividad queden respaldados en un “data sink”. Este equipo se encarga de agregar la totalidad de los registros de nuestras máquinas y se asegura de que, en caso de incidente, los elementos más importantes estarán disponibles y rápidamente accesibles.
El acceso a los datos de producción está reservado a un número limitado de personas identificadas y bajo validación de los equipos de seguridad tras la verificación del motivo de este acceso.
Todos los accesos a los datos y a los servidores de datos son, en efecto, registrados y conservados.
- Una formación regular de nuestros equipos
Porque sabemos que el eslabón más débil de la seguridad siempre será el factor humano, sensibilizamos a cada recién llegado sobre la seguridad mediante una formación y anualmente. El programa de formación cubre tanto los conceptos básicos de seguridad como la formación en codificación segura para el departamento de ingeniería.
Protección continua
A fin de asegurar la protección de nuestras infraestructuras ininterrumpidamente, usamos sistemas de vigilancia que generan alertas en tiempo real para que nuestros equipos sean informados de forma inmediata.
Además, al menos una vez al año, sometemos nuestros API y nuestros servidores a auditorias de seguridad para garantizar que las posibles vulnerabilidades existentes puedan ser detectadas y controladas cuanto antes.
Notificación de vulnerabilidad
En Paylead, nos preocupamos de proteger los datos de nuestros clientes y garantizar la seguridad de nuestros servicios en todo momento.
Estamos profundamente agradecidos con los investigadores y nuestra comunidad que nos informan de problemas para que podamos ofrecer una solución y una divulgación responsable. Todos los informes se investigan concienzudamente internamente.
Si deseas reportar una vulnerabilidad, puedes contactar con nosotros en la dirección siguiente: vulnerabilities@paylead.fr.
Puede cifrar su informe usando la clave GPG de nuestro equipo de seguridad.
No se requiere cifrado GPG para notificarnos.
Deberías utilizar esta lista de correo si:
- Cree que descubrió una posible vulnerabilidad de seguridad en las API o servicios de Paylead
- No está seguro de cómo afecta una vulnerabilidad a las API o servicios de Paylead
- Crees que has descubierto una vulnerabilidad en otro proyecto del que Paylead puede depender
¿Tienes más preguntas?
Para cualquier pregunta relacionada con la seguridad de nuestros datos o de nuestra infraestructura, puedes contactar con nosotros en la siguiente dirección de correo electrónico:ciso@paylead.fr, estaremos ahí para escucharte y encantados de ayudarte.