Seguridad en Adyen
Nos comprometemos a garantizar la seguridad de sus datos personales y, para hacerlo de forma efectiva, hemos adoptado una serie de medidas. Hemos implementado una serie de medidas técnicas y organizativas para proteger y garantizar la seguridad de la información que tratamos con el fin de impedir el acceso a sus datos de personas o partes no autorizadas. Entre ellas se incluyen:
1. Programa, políticas y personal de seguridad:
Gestionamos un programa de seguridad de la información para identificar riesgos e implementar los controles adecuados. Este programa se revisa periódicamente para garantizar una efectividad y precisión adecuadas. Contamos con un equipo de seguridad de la información a tiempo completo responsable de controlar, realizar el mantenimiento y mejorar continuamente nuestra seguridad. Tenemos políticas y procedimientos de seguridad de la información adecuados y efectivos que son esenciales para cumplir con la normativa pertinente.
2. Auditorías y certificaciones
Nos sometemos a una verificación independiente de nuestra seguridad y a controles de cumplimiento para alcanzar los objetivos normativos y de las políticas. Entre los terceros de las auditorías independientes de seguridad de la información a las que se somete Adyen están los siguientes:
a. Las Normas de Seguridad de Datos para la Industria de las Tarjetas de Pago (PCI DSS)
Las PCI DSS son una serie de directrices de seguridad de la información y buenas prácticas comerciales para establecer un «nivel mínimo de seguridad» y proteger la información de las tarjetas de pago de los clientes. Adyen se somete al menos a una auditoría al año por parte de un tercero para certificar nuestra plataforma de pago y productos con las PCI DSS.
b. Controles de los sistemas y de la organización 2 (SOC 2) tipo 2
El SOC 2 es un informe basado en los criterios de servicios de confianza (TSC) del consejo de normas de auditoría del Instituto Estadounidense de Expertos Contables Públicos (AICPA). El objetivo de este informe es evaluar los sistemas de información de Adyen pertinentes para la seguridad, disponibilidad, confidencialidad y privacidad. Adyen se somete al menos a una auditoría externa anual para informar sobre la idoneidad del diseño y la eficacia operativa de nuestros controles.
3. Control de acceso y gestión de privilegios:
Restringimos el acceso administrativo de nuestros sistemas de producción al personal autorizado. Al contratar al personal autorizado, se les asignan credenciales e identificaciones únicos. En caso de cese del personal autorizado o si se sospecha que dichas credenciales están en peligro, se revoca el acceso administrativo. Los niveles y derechos de acceso se basan en la función y el puesto de nuestros empleados, así como en los conceptos de seguridad «mínimo privilegio» y «necesidad de conocer» para garantizar que los privilegios de acceso se correspondan con las responsabilidades definidas.
4. Encriptación de datos:
Encriptamos los datos, y en la transmisión con nuestras interfaces de usuario o las API (usando TLS o tecnologías similares) a través de Internet.
5. Control de seguridad y respuesta a incidentes:
Disponemos de un proceso de gestión de incidentes para sucesos relacionado con la seguridad que puedan afectar a la confidencialidad, integridad o disponibilidad de nuestros sistemas o datos. Este proceso incluye unos tiempos de respuesta definidos en los que Adyen debe notificarlos a las partes implicadas. También especifica líneas de actuación para la notificación, escalada, mitigación y documentación. El programa de respuesta a incidentes incluye sistemas de control centralizado las 24 horas del día y los siete días de la semana y personal de guardia para responder a incidentes de seguridad.
6. Seguridad física:
En nuestras ubicaciones físicas, como los centros de datos, existen controles para evitar el acceso físico no autorizado. Entre ellas se incluyen: Controles de seguridad, autenticación con placa identificativa (o biométrica), registro de entrada de visitantes obligatorio y videovigilancia.
7. Seguridad y gestión de redes:
Contamos con una arquitectura de red segura y conforme a las normas del sector, respaldada por un ancho de banda razonablemente suficiente y una infraestructura de red redundante para mitigar el impacto de fallos de un componente. Nuestro equipo de seguridad emplea utilidades estándar del sector para defenderse contra actividades no autorizadas comunes en la red, supervisar las listas de asesoramiento de seguridad para detectar vulnerabilidades y llevar a cabo análisis y auditorías periódicos de vulnerabilidades externas.
8. Seguridad en nuestro proceso de desarrollo
Nuestros productos y nuestra plataforma de pagos están diseñados y desarrollados teniendo en cuenta las prácticas de seguridad y privacidad definidas por el sector. Realizamos un ciclo de vida de desarrollo de productos documentado, el llamado ciclo de vida de desarrollo de software seguro (SSDLC), con principios de desarrollo formal.