preloader

Términos & Condiciones

Por favor, lea los términos y condiciones que se indican a continuación, los cuales detallan muchas disposiciones legales, pero la conclusión es que nuestro objetivo es siempre cuidar de ambos, ya sea como cliente o como vendedor. Hemos incluido muchas de estas condiciones para protegernos legalmente, pero si tiene algún problema, no dude en escribirnos a SmartPay y haremos nuestro mejor esfuerzo para resolverlo de manera justa y oportuna.

Hardware

Condiciones Generales de Garantía

Todos los elementos de hardware tienen una garantía de un año, contado desde la fecha de la factura del equipo. La garantía para el software será de dos años e incluirá asistencia en línea para cubrir cualquier error o mal funcionamiento.

En caso de cualquier anomalía o defecto durante el período de garantía, el elemento deteriorado deberá enviarse a nuestra fábrica. Una vez analizado y confirmado que la incidencia se debe a un mal funcionamiento desde el inicio, se sustituirá sin cargo, enviándolo de vuelta a su destino.

La garantía no cubre los costos de desplazamiento ni la asistencia en el campo. La instalación de los equipos debe ser realizada por personal cualificado y acreditado por Dastions, siguiendo el manual de montaje y servicio proporcionado. La responsabilidad recae en el instalador en caso de instalación incorrecta o defectuosa.

Durante el período de garantía, se deben seguir las siguientes pautas:

No realizar reparaciones o reemplazo de componentes electrónicos en las tarjetas del instrumento sin autorización expresa de Dastions.

  • Utilizar únicamente piezas de repuesto originales.
  • Cualquier alteración de la máquina o uso de piezas no originales anulará la garantía y eximirá al fabricante de toda responsabilidad.
  • Antes de cualquier instalación o operación de reparación que implique el acceso a componentes electrónicos, desconectar el aparato y cualquier fuente de energía (batería, red de 230V u otro sistema).
  • Utilizar siempre fuentes de alimentación de red reguladas dentro del ± 10% del voltaje nominal.
  • En aplicaciones relacionadas con terceros, seguir las especificaciones descritas en el Decreto de homologación del equipo.
  • No sumergir el aparato en agua.
  • No lavar con chorros de agua.
  • Protegerlo de la lluvia directa.
  • No utilizar disolventes u otras sustancias agresivas para la limpieza.
  • No instalar en ambientes explosivos.
  • Conectar a tierra cualquier puesta a tierra colocada en la carcasa del dispositivo, utilizando un cable con un diámetro no inferior a 16 mm2.

Política de Soporte en Hardware

Todo el Soporte Online está sujeto al periodo de garantía de instalación (1 mes tras su compra). El Soporte proporcionado fuera de este tiempo será facturado bajo la tarifa estándar de asistencia técnica. Si el problema informado es un error interno de SmartPay este se solucionará sin costes de asistencia remota sin incluir los cargos de transporte o desplazamiento ocasionado por dicho problema. SmartPay no es responable de la asistencia en el punto de instalación. Es responsabilidad del distribuidor dar asistencia física en la instalación cumpliendo con la filosofía de negocio B2B2C.

El instalador del equipo debe cumplir con las condiciones de garantía general especificadas en el apartado anterior para el reembolso en su compra.

  1. En los productos de hardware que ofrece SmartPay (Dastions.com), emitimos reembolsos bajo garantía tras inspeccionar técnicamente el equipo. Si hay algún problema con uno de los productos o si experimenta alguna anomalía en la instalación, debe informarnos antes de poner en funcionamiento el equipo y solucionaremos el problema.
  2. Tiene 1 mes para inspeccionar su compra y determinar si no cumple con las expectativas establecidas por SmartPay. En caso de que desee recibir un reembolso, SmartPay le emitirá un reembolso y le pedirá que especifique cómo el producto no cumplió con las expectativas y reenvie el equipo a nuestro almacén.
  3. Cuando realice una devolución, acreditaremos la tarifa al completo, menos los cargos de transporte. Los reembolsos generalmente se procesan dentro de 3 a 5 días hábiles después de recibir su reclamo, revisar el quipo y determinar que es elegible para una devolución. Los reembolsos se aplican por transferencia bancaria.

Cualquier uncumplimiento de la Guía de Instalación, o incidencia debido a subidas de tensión, rayos, manipulaciones incorrectas o uso indebido de los equipos, anulará el período de garantía y posible reembols.

Plataforma Online

Seguridad en el Pago

Nuestros usuarios confían a SmartPay sus datos confidenciales y confían en que también somos buenos custodios de los datos de sus clientes. Como empresa de infraestructura de pagos, nuestra postura de seguridad evoluciona continuamente para cumplir con las rigurosas normas del sector financiero mundial.

Política de Compra y Entrega de Productos

Por favor, lea los términos y condiciones que se indican a continuación, los cuales describen muchos aspectos legales importantes, pero en última instancia, nuestro objetivo es siempre cuidar tanto de usted como cliente, como de nosotros como vendedores. Hemos incluido muchas de estas cláusulas para protegernos legalmente, pero si surge algún problema, no dude en escribirnos por correo electrónico y haremos todo lo posible por resolverlo de manera justa y oportuna.

Política de Reembolso

  1. Dado que SmartPay ofrece productos digitales no tangibles e irrevocables, NO emitimos reembolsos después de realizar una compra. Si hay algún problema con uno de los productos digitales descargables o si experimenta alguna dificultad con la descarga, solucionaremos el problema.
  2. Tiene 24 horas para inspeccionar su compra y determinar si no cumple con las expectativas establecidas por SmartPay. En caso de que desee recibir un reembolso, SmartPay le emitirá un reembolso y le pedirá que especifique cómo el producto no cumplió con las expectativas.
  3. Cuando realice una devolución que califique, acreditaremos el monto completo, menos los cargos de manejo. Los reembolsos generalmente se procesan dentro de 3 a 5 días hábiles después de recibir su reclamo y determinar que es elegible para una devolución. Los reembolsos se aplican al método de pago original.

Política de Soporte en Software

  1. Dado que SmartPay ofrece productos digitales no tangibles e irrevocables, NO emitimos reembolsos después de realizar una compra. Si hay algún problema con uno de los productos digitales descargables o si experimenta alguna dificultad con la descarga, solucionaremos el problema.
  2. Tiene 24 horas para inspeccionar su compra y determinar si no cumple con las expectativas establecidas por SmartPay. En caso de que desee recibir un reembolso, SmartPay le emitirá un reembolso y le pedirá que especifique cómo el producto no cumplió con las expectativas.
  3. Cuando realice una devolución que califique, acreditaremos el monto completo, menos los cargos de manejo. Los reembolsos generalmente se procesan dentro de 3 a 5 días hábiles después de recibir su reclamo y determinar que es elegible para una devolución. Los reembolsos se aplican al método de pago original.

Seguridad en el Pago

Descubre cómo gestionamos la seguridad a través de plataformas de pago de terceros que cumplen con lo siguiente y que de aquí en adelante de este documento se le nombrará como SmartPay en concepto general de pago.

Cumplimiento de normas y reglamentos

SmartPay utiliza las mejores prácticas de seguridad para mantener un alto nivel de seguridad.

Certificado para PCI

SmartPay se ha sometido a una auditoría por parte de un auditor certificado por PCI y cuenta con la certificación PCI de nivel 1 para proveedores de servicios. Este es el nivel de certificación más estricto disponible en el sector de los pagos. Esta auditoría incluye el almacenamiento de datos de tarjetas de SmartPay (CDV) y el desarrollo del software de seguridad de nuestro código de integración.

Proporcionamos a nuestros usuarios funciones para automatizar algunos aspectos del cumplimiento de PCI. Analizamos el método de integración del usuario y le informamos dinámicamente de qué formulario de validación de PCI debe utilizar. Si un usuario utiliza SmartPay Elements, Checkout, Terminal SDK o nuestras bibliotecas móviles, rellenamos previamente el formulario de validación de PCI del usuario (Cuestionario de autoevaluación A) en su Dashboard. Y para dar información a los usuarios sobre el tema del cumplimiento de la normativa, tenemos una Guía de cumplimiento de PCI que describe cómo mantener el cumplimiento de la normativa y cómo puede ayudar SmartPay.

Informes de Controles de Sistemas y Organizaciones (CSO)

Los sistemas, procesos y controles de SmartPay se auditan regularmente como parte de nuestros programas de cumplimiento SOC 1 y SOC 2. Los informes SOC 1 y SOC 2 Tipo II se producen anualmente y se pueden proporcionar previa solicitud.

Norma EMVCo para terminales de tarjetas

SmartPay Terminal está certificado según las normas EMVCo Nivel 1 y 2 de las Especificaciones EMV® para la seguridad e interoperabilidad de tarjetas y terminales. Terminal también está certificado según la Norma de seguridad de datos de aplicaciones de pago de PCI (PA-DSS), la norma de seguridad global que tiene como objetivo evitar que las aplicaciones de pago desarrolladas para terceros almacenen datos seguros prohibidos.

Marco de ciberseguridad del NIST

El conjunto de políticas de seguridad de la información de SmartPay y su diseño general están alineados con el Marco de ciberseguridad del NIST. Nuestras prácticas de seguridad cumplen con la normativa de nuestros clientes empresariales que deben proporcionar productos seguros, como plataformas de almacenamiento y de informática en la nube bajo demanda (por ejemplo, Digital Ocean y Slack).

Aseguramiento de productos de SmartPay

La seguridad es uno de los principios rectores de SmartPay para todas nuestras decisiones de diseño de productos e infraestructura. Ofrecemos una serie de funciones para ayudar a nuestros usuarios a proteger mejor sus datos de SmartPay.

Autenticación de acciones sensibles

El panel de SmartPay admite varias formas de autenticación multifactor (MFA) entre las que se incluyen: SMS, algoritmo de contraseña de un único uso temporal (TOTP) y la autenticación universal en dos pasos (U2F). También aceptamos inicio de sesión único mediante el Lenguaje de marcado de aserción de seguridad (SAML) 2.0, lo que permite a los clientes exigir requisitos de inicio de sesión, configurar el control de acceso y hacer el onboarding instantáneamente de los miembros del equipo a través del aprovisionamiento de cuentas Just-in-Time.

Las solicitudes de soporte de los usuarios deben autenticarse enviando la petición desde el Dashboard (después de iniciar sesión) o verificando el acceso a la cuenta antes de que se ofrezca una respuesta de soporte. Al exigir la autenticación, minimizamos el riesgo de proporcionar cualquier información a personas no autorizadas.

Restricción de acceso y auditoría

Desde el Dashboard, los usuarios pueden asignar diferentes funciones detalladas para habilitar el acceso menos privilegiado para sus empleados y crear claves de acceso restringido para reducir el riesgo de seguridad y confiabilidad de la exposición de claves de API.

Los usuarios también pueden ver los registros de auditoría de los cambios y la actividad importantes de la cuenta en su historial de seguridad. Estos registros de auditoría contienen registros de la actividad confidencial de la cuenta, como iniciar sesión o cambiar la información de la cuenta bancaria. Monitoreamos los inicios de sesión y observamos los siguientes elementos:

Si son de los mismos dispositivos o de los dispositivos habituales Si provienen de direcciones IP consistentes Intentos fallidos Los usuarios pueden exportar información histórica de los registros. Para las actividades urgentes, como los inicios de sesión desde IP y dispositivos desconocidos, enviamos notificaciones automáticas para que los registros no tengan que revisarse manualmente.

HTTPS y HSTS para unas conexiones seguras

Encargamos el uso de HTTPS en todos los servicios que utilizan TLS (SSL), incluso en nuestro sitio web público y en el Dashboard. Auditamos regularmente los detalles de nuestra implementación, incluidos los certificados que proporcionamos, las autoridades de certificación que utilizamos y los cifrados que apoyamos. Utilizamos HSTS para garantizar que los navegadores interactúen con SmartPay solo a través de HTTPS. SmartPay también está en las listas precargadas de HSTS para todos los navegadores principales modernos.

Toda la comunicación de servidor a servidor se cifra utilizando la seguridad de la capa de transporte mutuo (mTLS) y SmartPay tiene claves PGP esepcíficas para que los usuarios cifren las comunicaciones con SmartPay o verifiquen los mensajes firmados que reciben de SmartPay. Los sistemas de SmartPay bloquean automáticamente las solicitudes realizadas con versiones más antiguas y menos seguras de TLS que requieren el uso de al menos TLS 1.2.

El dominio SmartPay.com, incluidos los subdominios de Dashboard y API, se encuentra en la lista de los principales dominios para Chrome, lo que proporciona protección adicional frente a los ataques de homoglifos. De este modo, es más complicado crear páginas falsas que se parezcan a SmartPay.com en Chrome (por ejemplo, strípe.com), que aparece como un punycode (xn–strpe-1sa.com), lo que a su vez dificulta la suplantación de las credenciales de SmartPay.

Supervisión proactiva de Internet

Buscamos en Internet de forma proactiva las claves API de nuestros comerciantes. Si encontramos una clave comprometida, tomamos las medidas apropiadas y notificamos al usuario que debe cambiar su clave API. Usamos el Escáner de tokens de GitHub para alertarnos cuando las claves de API de un usuario se han filtrado en GitHub. Si encontramos páginas externas de suplantación que puedan atrapar a nuestros usuarios, trabajamos de manera proactiva con nuestros proveedores para eliminarlas y las reportamos a Google Safe Browsing.

Protecciones de la infraestructura

Nuestros equipos de seguridad comprueban nuestra infraestructura de forma frecuente en busca de vulnerabilidades y realizando pruebas de penetración y ejercicios de equipo rojo. Contratamos a empresas de seguridad líderes en el sector para que realicen análisis de terceros de nuestros sistemas y abordamos de inmediato sus hallazgos. Nuestros servidores se reemplazan con frecuencia y automáticamente para mantener el estado del servidor y descartar conexiones o recursos obsoletos. Los sistemas operativos de los servidores se actualizan mucho antes de la fecha de finalización de la vida útil de la seguridad.

Tecnología de tarjetas especializada

SmartPay cifra los datos confidenciales tanto en tránsito como en reposo. La infraestructura de SmartPay para almacenar, descifrar y transmitir los números de cuenta primaria (PAN), como los números de tarjeta de crédito, se gestiona en una infraestructura de alojamiento independiente y no comparte ninguna credencial con el resto de nuestros servicios. Un equipo especializado gestiona nuestro CDV en un entorno aislado de Amazon Web Services (AWS) que está separado del resto de la infraestructura de SmartPay. El acceso a este entorno separado está restringido a un pequeño número de ingenieros especialmente capacitados y el acceso se revisa cada trimestre.

Todos los números de tarjeta se cifran en reposo con AES-256. Las claves de descifrado se almacenan en máquinas separadas. Tokenizamos los PAN de forma interna y aislamos los números brutos del resto de nuestra infraestructura. Ninguno de los servidores ni daemons internos de SmartPay puede obtener los números de tarjeta en texto sin formato, pero puede solicitar que las tarjetas se envíen a un proveedor de servicios en una lista de permisos estática. La infraestructura de SmartPay para almacenar, descifrar y transmitir los números de tarjeta se ejecuta en un entorno de alojamiento independiente y no comparte ninguna credencial con los servicios principales de SmartPay, como nuestra API y nuestro sitio web. No solo los PAN se tokenizan de esta manera: tratamos de manera similar otros datos confidenciales, como la información de las cuentas bancarias.

Tecnología corporativa

SmartPay adopta un enfoque de confianza cero para la gestión del acceso de los empleados. Los empleados se autentican utilizando el inicio de sesión único y la autenticación en dos pasos (2FA) con un token basado en hardware y mTLS a través de un certificado criptográfico en máquinas emitidas por SmartPay. Después de conectarse a la red, los sistemas internos confidenciales y los que están fuera del alcance del trabajo estándar del empleado requieren permisos de acceso adicionales.

Supervisamos los registros de auditoría para detectar anomalías, intrusiones y actividades sospechosas y también vigilamos los cambios de los archivos confidenciales de nuestra base de código. Todo el código de SmartPay se somete a una revisión por parte de varias personas y a pruebas automatizadas. Los cambios de código se registran en un registro inmutable y a prueba de manipulaciones. Recopilamos constantemente información sobre los ordenadores portátiles de SmartPay para monitorear procesos maliciosos, conexiones a dominios fraudulentos y actividad de intrusos. Tenemos un proceso exhaustivo para autorizar los programas que se pueden instalar en los ordenadores portátiles de los empleados, evitando así la instalación de aplicaciones no aprobadas.

Mantenimiento de la postura de seguridad

Nuestros desarrolladores trabajan con expertos en seguridad al principio del ciclo de vida de un proyecto. Como parte de nuestro proceso de revisión de seguridad, los expertos en seguridad desarrollan modelos de amenazas y fijan límites de confianza que guían la implementación del proyecto. Los desarrolladores utilizan este mismo proceso para hacer cambios en las partes sensibles del código.

Expertos especializados siempre disponibles

Contamos con varios equipos de seguridad especializados en distintos ámbitos de seguridad, entre las que se incluyen la infraestructura, las operaciones, la privacidad, los usuarios y las aplicaciones. Los expertos en seguridad están disponibles las 24 horas del día, los 7 días de la semana, a través de rotaciones de guardia. Nos centramos en elevar constantemente el nivel de las mejores prácticas para minimizar los riesgos de ciberseguridad.

La seguridad es el trabajo de todos los empleados de SmartPay

Exigimos a todos los empleados de SmartPay completar la formación anual de seguridad y proporcionamos capacitación en desarrollo de software seguro a los ingenieros de SmartPay. Ejecutamos campañas internas de phishing para poner a prueba a todos los empleados de SmartPay a la hora de reconocer los intentos de phishing y señalarlos al equipo de seguridad adecuado.

Gestión del control de acceso

Tenemos un proceso formal para conceder acceso a sistemas e información; revisamos con frecuencia y eliminamos los accesos inactivos de forma automática. Las acciones dentro de las áreas más sensibles de la infraestructura necesitan una revisión humana. Para habilitar las mejores prácticas para el control de acceso, nuestros expertos en seguridad crean primitivas para ayudar a los equipos de SmartPay a implementar el principio del privilegio mínimo. Para minimizar nuestra exposición, contamos con una política de retención de datos que minimiza los datos que conservamos mientras cumplimos con los requisitos reglamentarios y comerciales.

Programa de comunicación de vulnerabilidades y recompensas

Disponemos de un programa de divulgación y recompensa de vulnerabilidades («bug bounty») que compensa a los investigadores de seguridad independientes que nos ayudan a mantener la seguridad de nuestros usuarios. Al enviar un error de seguridad o una vulnerabilidad a SmartPay a través de Dastions, reconoces haber leído y aceptado los términos y condiciones del programa. Consulta nuestra política sobre Dastions para obtener más información acerca de cómo participar en nuestro programa de recompensas por errores.

Política de Compra y Entrega de Productos Por favor, lea los términos y condiciones que se indican a continuación, los cuales describen muchos aspectos legales importantes, pero en última instancia, nuestro objetivo es siempre cuidar tanto de usted como cliente, como de nosotros como vendedores. Hemos incluido muchas de estas cláusulas para protegernos legalmente, pero si surge algún problema, no dude en escribirnos por correo electrónico y haremos todo lo posible por resolverlo de manera justa y oportuna.