Por favor, lea los términos y condiciones que se indican a continuación, los cuales detallan muchas disposiciones legales, pero la conclusión es que nuestro objetivo es siempre cuidar de ambos, ya sea como cliente o como vendedor. Hemos incluido muchas de estas condiciones para protegernos legalmente, pero si tiene algún problema, no dude en escribirnos a SmartPay y haremos nuestro mejor esfuerzo para resolverlo de manera justa y oportuna.
Seguridad en el Pago
Nuestros usuarios confían a SmartPay sus datos confidenciales y confían en que también somos buenos custodios de los datos de sus clientes. Como empresa de infraestructura de pagos, nuestra postura de seguridad evoluciona continuamente para cumplir con las rigurosas normas del sector financiero mundial.
Política de Compra y Entrega de Productos
Por favor, lea los términos y condiciones que se indican a continuación, los cuales describen muchos aspectos legales importantes, pero en última instancia, nuestro objetivo es siempre cuidar tanto de usted como cliente, como de nosotros como vendedores. Hemos incluido muchas de estas cláusulas para protegernos legalmente, pero si surge algún problema, no dude en escribirnos por correo electrónico y haremos todo lo posible por resolverlo de manera justa y oportuna.
Política de Reembolso
- Dado que SmartPay ofrece productos digitales no tangibles e irrevocables, NO emitimos reembolsos después de realizar una compra. Si hay algún problema con uno de los productos digitales descargables o si experimenta alguna dificultad con la descarga, solucionaremos el problema.
- Tiene 24 horas para inspeccionar su compra y determinar si no cumple con las expectativas establecidas por SmartPay. En caso de que desee recibir un reembolso, SmartPay le emitirá un reembolso y le pedirá que especifique cómo el producto no cumplió con las expectativas.
- Cuando realice una devolución que califique, acreditaremos el monto completo, menos los cargos de manejo. Los reembolsos generalmente se procesan dentro de 3 a 5 días hábiles después de recibir su reclamo y determinar que es elegible para una devolución. Los reembolsos se aplican al método de pago original.
Política de Soporte
- Dado que SmartPay ofrece productos digitales no tangibles e irrevocables, NO emitimos reembolsos después de realizar una compra. Si hay algún problema con uno de los productos digitales descargables o si experimenta alguna dificultad con la descarga, solucionaremos el problema.
- Tiene 24 horas para inspeccionar su compra y determinar si no cumple con las expectativas establecidas por SmartPay. En caso de que desee recibir un reembolso, SmartPay le emitirá un reembolso y le pedirá que especifique cómo el producto no cumplió con las expectativas.
- Cuando realice una devolución que califique, acreditaremos el monto completo, menos los cargos de manejo. Los reembolsos generalmente se procesan dentro de 3 a 5 días hábiles después de recibir su reclamo y determinar que es elegible para una devolución. Los reembolsos se aplican al método de pago original.
Seguridad en el Pago
Descubre cómo gestionamos la seguridad a través de plataformas de pago de terceros que cumplen con lo siguiente y que de aquí en adelante de este documento se le nombrará como SmartPay en concepto general de pago.
Cumplimiento de normas y reglamentos
SmartPay utiliza las mejores prácticas de seguridad para mantener un alto nivel de seguridad.
Certificado para PCI
SmartPay se ha sometido a una auditoría por parte de un auditor certificado por PCI y cuenta con la certificación PCI de nivel 1 para proveedores de servicios. Este es el nivel de certificación más estricto disponible en el sector de los pagos. Esta auditoría incluye el almacenamiento de datos de tarjetas de SmartPay (CDV) y el desarrollo del software de seguridad de nuestro código de integración.
Proporcionamos a nuestros usuarios funciones para automatizar algunos aspectos del cumplimiento de PCI. Analizamos el método de integración del usuario y le informamos dinámicamente de qué formulario de validación de PCI debe utilizar. Si un usuario utiliza SmartPay Elements, Checkout, Terminal SDK o nuestras bibliotecas móviles, rellenamos previamente el formulario de validación de PCI del usuario (Cuestionario de autoevaluación A) en su Dashboard. Y para dar información a los usuarios sobre el tema del cumplimiento de la normativa, tenemos una Guía de cumplimiento de PCI que describe cómo mantener el cumplimiento de la normativa y cómo puede ayudar SmartPay.
Informes de Controles de Sistemas y Organizaciones (CSO)
Los sistemas, procesos y controles de SmartPay se auditan regularmente como parte de nuestros programas de cumplimiento SOC 1 y SOC 2. Los informes SOC 1 y SOC 2 Tipo II se producen anualmente y se pueden proporcionar previa solicitud.
Norma EMVCo para terminales de tarjetas
SmartPay Terminal está certificado según las normas EMVCo Nivel 1 y 2 de las Especificaciones EMV® para la seguridad e interoperabilidad de tarjetas y terminales. Terminal también está certificado según la Norma de seguridad de datos de aplicaciones de pago de PCI (PA-DSS), la norma de seguridad global que tiene como objetivo evitar que las aplicaciones de pago desarrolladas para terceros almacenen datos seguros prohibidos.
Marco de ciberseguridad del NIST
El conjunto de políticas de seguridad de la información de SmartPay y su diseño general están alineados con el Marco de ciberseguridad del NIST. Nuestras prácticas de seguridad cumplen con la normativa de nuestros clientes empresariales que deben proporcionar productos seguros, como plataformas de almacenamiento y de informática en la nube bajo demanda (por ejemplo, Digital Ocean y Slack).
Aseguramiento de productos de SmartPay
La seguridad es uno de los principios rectores de SmartPay para todas nuestras decisiones de diseño de productos e infraestructura. Ofrecemos una serie de funciones para ayudar a nuestros usuarios a proteger mejor sus datos de SmartPay.
Autenticación de acciones sensibles
El panel de SmartPay admite varias formas de autenticación multifactor (MFA) entre las que se incluyen: SMS, algoritmo de contraseña de un único uso temporal (TOTP) y la autenticación universal en dos pasos (U2F). También aceptamos inicio de sesión único mediante el Lenguaje de marcado de aserción de seguridad (SAML) 2.0, lo que permite a los clientes exigir requisitos de inicio de sesión, configurar el control de acceso y hacer el onboarding instantáneamente de los miembros del equipo a través del aprovisionamiento de cuentas Just-in-Time.
Las solicitudes de soporte de los usuarios deben autenticarse enviando la petición desde el Dashboard (después de iniciar sesión) o verificando el acceso a la cuenta antes de que se ofrezca una respuesta de soporte. Al exigir la autenticación, minimizamos el riesgo de proporcionar cualquier información a personas no autorizadas.
Restricción de acceso y auditoría
Desde el Dashboard, los usuarios pueden asignar diferentes funciones detalladas para habilitar el acceso menos privilegiado para sus empleados y crear claves de acceso restringido para reducir el riesgo de seguridad y confiabilidad de la exposición de claves de API.
Los usuarios también pueden ver los registros de auditoría de los cambios y la actividad importantes de la cuenta en su historial de seguridad. Estos registros de auditoría contienen registros de la actividad confidencial de la cuenta, como iniciar sesión o cambiar la información de la cuenta bancaria. Monitoreamos los inicios de sesión y observamos los siguientes elementos:
Si son de los mismos dispositivos o de los dispositivos habituales Si provienen de direcciones IP consistentes Intentos fallidos Los usuarios pueden exportar información histórica de los registros. Para las actividades urgentes, como los inicios de sesión desde IP y dispositivos desconocidos, enviamos notificaciones automáticas para que los registros no tengan que revisarse manualmente.
HTTPS y HSTS para unas conexiones seguras
Encargamos el uso de HTTPS en todos los servicios que utilizan TLS (SSL), incluso en nuestro sitio web público y en el Dashboard. Auditamos regularmente los detalles de nuestra implementación, incluidos los certificados que proporcionamos, las autoridades de certificación que utilizamos y los cifrados que apoyamos. Utilizamos HSTS para garantizar que los navegadores interactúen con SmartPay solo a través de HTTPS. SmartPay también está en las listas precargadas de HSTS para todos los navegadores principales modernos.
Toda la comunicación de servidor a servidor se cifra utilizando la seguridad de la capa de transporte mutuo (mTLS) y SmartPay tiene claves PGP esepcíficas para que los usuarios cifren las comunicaciones con SmartPay o verifiquen los mensajes firmados que reciben de SmartPay. Los sistemas de SmartPay bloquean automáticamente las solicitudes realizadas con versiones más antiguas y menos seguras de TLS que requieren el uso de al menos TLS 1.2.
El dominio SmartPay.com, incluidos los subdominios de Dashboard y API, se encuentra en la lista de los principales dominios para Chrome, lo que proporciona protección adicional frente a los ataques de homoglifos. De este modo, es más complicado crear páginas falsas que se parezcan a SmartPay.com en Chrome (por ejemplo, strípe.com), que aparece como un punycode (xn–strpe-1sa.com), lo que a su vez dificulta la suplantación de las credenciales de SmartPay.
Supervisión proactiva de Internet
Buscamos en Internet de forma proactiva las claves API de nuestros comerciantes. Si encontramos una clave comprometida, tomamos las medidas apropiadas y notificamos al usuario que debe cambiar su clave API. Usamos el Escáner de tokens de GitHub para alertarnos cuando las claves de API de un usuario se han filtrado en GitHub. Si encontramos páginas externas de suplantación que puedan atrapar a nuestros usuarios, trabajamos de manera proactiva con nuestros proveedores para eliminarlas y las reportamos a Google Safe Browsing.
Protecciones de la infraestructura
Nuestros equipos de seguridad comprueban nuestra infraestructura de forma frecuente en busca de vulnerabilidades y realizando pruebas de penetración y ejercicios de equipo rojo. Contratamos a empresas de seguridad líderes en el sector para que realicen análisis de terceros de nuestros sistemas y abordamos de inmediato sus hallazgos. Nuestros servidores se reemplazan con frecuencia y automáticamente para mantener el estado del servidor y descartar conexiones o recursos obsoletos. Los sistemas operativos de los servidores se actualizan mucho antes de la fecha de finalización de la vida útil de la seguridad.
Tecnología de tarjetas especializada
SmartPay cifra los datos confidenciales tanto en tránsito como en reposo. La infraestructura de SmartPay para almacenar, descifrar y transmitir los números de cuenta primaria (PAN), como los números de tarjeta de crédito, se gestiona en una infraestructura de alojamiento independiente y no comparte ninguna credencial con el resto de nuestros servicios. Un equipo especializado gestiona nuestro CDV en un entorno aislado de Amazon Web Services (AWS) que está separado del resto de la infraestructura de SmartPay. El acceso a este entorno separado está restringido a un pequeño número de ingenieros especialmente capacitados y el acceso se revisa cada trimestre.
Todos los números de tarjeta se cifran en reposo con AES-256. Las claves de descifrado se almacenan en máquinas separadas. Tokenizamos los PAN de forma interna y aislamos los números brutos del resto de nuestra infraestructura. Ninguno de los servidores ni daemons internos de SmartPay puede obtener los números de tarjeta en texto sin formato, pero puede solicitar que las tarjetas se envíen a un proveedor de servicios en una lista de permisos estática. La infraestructura de SmartPay para almacenar, descifrar y transmitir los números de tarjeta se ejecuta en un entorno de alojamiento independiente y no comparte ninguna credencial con los servicios principales de SmartPay, como nuestra API y nuestro sitio web. No solo los PAN se tokenizan de esta manera: tratamos de manera similar otros datos confidenciales, como la información de las cuentas bancarias.
Tecnología corporativa
SmartPay adopta un enfoque de confianza cero para la gestión del acceso de los empleados. Los empleados se autentican utilizando el inicio de sesión único y la autenticación en dos pasos (2FA) con un token basado en hardware y mTLS a través de un certificado criptográfico en máquinas emitidas por SmartPay. Después de conectarse a la red, los sistemas internos confidenciales y los que están fuera del alcance del trabajo estándar del empleado requieren permisos de acceso adicionales.
Supervisamos los registros de auditoría para detectar anomalías, intrusiones y actividades sospechosas y también vigilamos los cambios de los archivos confidenciales de nuestra base de código. Todo el código de SmartPay se somete a una revisión por parte de varias personas y a pruebas automatizadas. Los cambios de código se registran en un registro inmutable y a prueba de manipulaciones. Recopilamos constantemente información sobre los ordenadores portátiles de SmartPay para monitorear procesos maliciosos, conexiones a dominios fraudulentos y actividad de intrusos. Tenemos un proceso exhaustivo para autorizar los programas que se pueden instalar en los ordenadores portátiles de los empleados, evitando así la instalación de aplicaciones no aprobadas.
Mantenimiento de la postura de seguridad
Nuestros desarrolladores trabajan con expertos en seguridad al principio del ciclo de vida de un proyecto. Como parte de nuestro proceso de revisión de seguridad, los expertos en seguridad desarrollan modelos de amenazas y fijan límites de confianza que guían la implementación del proyecto. Los desarrolladores utilizan este mismo proceso para hacer cambios en las partes sensibles del código.
Expertos especializados siempre disponibles
Contamos con varios equipos de seguridad especializados en distintos ámbitos de seguridad, entre las que se incluyen la infraestructura, las operaciones, la privacidad, los usuarios y las aplicaciones. Los expertos en seguridad están disponibles las 24 horas del día, los 7 días de la semana, a través de rotaciones de guardia. Nos centramos en elevar constantemente el nivel de las mejores prácticas para minimizar los riesgos de ciberseguridad.
La seguridad es el trabajo de todos los empleados de SmartPay
Exigimos a todos los empleados de SmartPay completar la formación anual de seguridad y proporcionamos capacitación en desarrollo de software seguro a los ingenieros de SmartPay. Ejecutamos campañas internas de phishing para poner a prueba a todos los empleados de SmartPay a la hora de reconocer los intentos de phishing y señalarlos al equipo de seguridad adecuado.
Gestión del control de acceso
Tenemos un proceso formal para conceder acceso a sistemas e información; revisamos con frecuencia y eliminamos los accesos inactivos de forma automática. Las acciones dentro de las áreas más sensibles de la infraestructura necesitan una revisión humana. Para habilitar las mejores prácticas para el control de acceso, nuestros expertos en seguridad crean primitivas para ayudar a los equipos de SmartPay a implementar el principio del privilegio mínimo. Para minimizar nuestra exposición, contamos con una política de retención de datos que minimiza los datos que conservamos mientras cumplimos con los requisitos reglamentarios y comerciales.
Programa de comunicación de vulnerabilidades y recompensas
Disponemos de un programa de divulgación y recompensa de vulnerabilidades («bug bounty») que compensa a los investigadores de seguridad independientes que nos ayudan a mantener la seguridad de nuestros usuarios. Al enviar un error de seguridad o una vulnerabilidad a SmartPay a través de Dastions, reconoces haber leído y aceptado los términos y condiciones del programa. Consulta nuestra política sobre Dastions para obtener más información acerca de cómo participar en nuestro programa de recompensas por errores.
Política de Compra y Entrega de Productos Por favor, lea los términos y condiciones que se indican a continuación, los cuales describen muchos aspectos legales importantes, pero en última instancia, nuestro objetivo es siempre cuidar tanto de usted como cliente, como de nosotros como vendedores. Hemos incluido muchas de estas cláusulas para protegernos legalmente, pero si surge algún problema, no dude en escribirnos por correo electrónico y haremos todo lo posible por resolverlo de manera justa y oportuna.