Stripe es una empresa tecnológica cuyo objetivo es aumentar el PIB de Internet mediante la creación de plataformas rentables que procesen pagos por Internet. Stripe presta apoyo a empresas de todos los tamaños: desde empresas de reciente creación hasta empresas que cotizan en bolsa, que utilizan sus servicios para aceptar pagos y gestionar transacciones comerciales por Internet.
Como parte del objetivo que tiene Stripe de convertirse en la plataforma de pago más popular de Internet, Stripe procesa datos importantes de nuestros usuarios y sus clientes. Para generar confianza entre Stripe y sus usuarios, es fundamental que Stripe proteja su plataforma de servicios de pago y los datos que procesa.
Esto es algo que Stripe se toma muy en serio, por lo que se ha comprometido a desarrollar y establecer una cultura de «la seguridad ante todo».
La Política global de seguridad de la información (la «Política») es el elemento más importante en el compromiso que Stripe ha adquirido con la seguridad, y en la que se establece cómo Stripe protegerá su plataforma de servicios de pago y sus datos.
Los responsables de seguridad de la información y la Junta directiva de la empresa revisan y aprueban la Política anualmente.
La Política de seguridad de la información de Stripe incluye los siguientes principios clave sobre seguridad de la información:
Para alcanzar los objetivos de seguridad de la información de Stripe y cumplir sus políticas, se ha establecido un sólido programa de seguridad de la información centrado en las personas, los procesos y la plataforma.
Este programa cuenta con controles en las siguientes áreas:
Personas: se espera que todos los empleados de Stripe respalden los objetivos establecidos de «la seguridad ante todo». Stripe se esfuerza en preparar a sus equipos para lograr estos objetivos impartiendo sesiones de capacitación y concienciación, de manera que todas las personas estén familiarizadas con los riesgos que conlleva la seguridad. Teniendo esto en cuenta, se han establecido los siguientes controles:
- Equipos y responsables de la seguridad de la información
- Programa de gestión de riesgos tecnológicos
- Comprobación de antecedentes del personal
- Programa de sensibilización en materia de seguridad
- Documentación de pautas y métodos de programación seguros
Procesos: Stripe ha definido procesos empresariales para garantizar el cumplimiento de sus objetivos de seguridad de la información mediante la gestión de la seguridad, el desarrollo seguro y las operaciones seguras. Estos procesos incluyen:
- Procesos de acceso de los usuarios que se basan en el concepto del mínimo privilegio
- Estrategias de desarrollo formal que integran el análisis y las pruebas de seguridad
- Procesos de gestión de la vulnerabilidad
- Protección contra el malware
- Procesos de supervisión y alerta de seguridad
- Evaluación de los riesgos de seguridad asociados a terceros
- Gestión y respuesta a incidentes
Plataforma: la infraestructura de producción de Stripe está diseñada para aceptar sistemas seguros y de alta disponibilidad que garanticen que los servicios de Stripe estén protegidos y disponibles para satisfacer las necesidades de los clientes. La plataforma de Stripe se compone de los siguientes elementos:
- Proveedores de infraestructura de servicios (IaaS) en la nube para aprovechar las características del sector
- Una infraestructura descentralizada y resistente distribuida en varios centros de datos
- Procesos automatizados de desarrollo de sistemas de aprovechamiento para garantizar la creación de sistemas totalmente seguros
- Replicación de datos
- Conexiones de red internas y externas encriptadas
Como procesador de pagos, Stripe está sujeto a numerosos requisitos industriales y normativos internacionales. Para cumplirlos, ha creado un programa de cumplimiento de la normativa de seguridad para identificar, controlar y cumplir con los requisitos obligatorios de seguridad de la información a los que está sujeto. Este programa de cumplimiento también incluye certificaciones de proveedores externos, como por ejemplo:
- Certificación PCI DSS de nivel 1
- Autenticaciones SOC2 Tipo 2
- Certificación obligatoria de ciberseguridad en el Reino Unido
Estas autenticaciones y certificaciones se renuevan anualmente y los resultados están a disposición de los clientes de Stripe si lo solicitan.