Directrices sobre la seguridad de la información

Introducción

Stripe es una empresa tecnológica cuyo objetivo es aumentar el PIB de Internet mediante la creación de plataformas rentables que procesen pagos por Internet. Stripe presta sus servicios a empresas de todos los tamaños —desde startups hasta empresas que cotizan en bolsa— que utilizan sus servicios para aceptar pagos y gestionar transacciones comerciales en línea.

Como parte del objetivo de Stripe de convertirse en la plataforma de pago más popular de Internet, procesa datos importantes de nuestros usuarios y de sus clientes. Para generar confianza entre Stripe y sus usuarios, es fundamental que Stripe proteja su plataforma de servicios de pago y los datos que procesa.

Esta es una cuestión que Stripe se toma muy en serio, por lo que se ha comprometido a desarrollar y establecer una cultura de «la seguridad ante todo».

La seguridad en Stripe

La Política global de seguridad de la información (la «Política») es el elemento más importante del compromiso que Stripe ha adquirido con la seguridad, y en la que se establece de qué manera protegerá Stripe su plataforma de servicios de pago y sus datos.

Los altos ejecutivos de seguridad de la información y el Consejo de Administración de la empresa revisan y aprueban la Política anualmente.

La Política de seguridad de la información de Stripe incluye los siguientes principios clave sobre seguridad de la información:

  • Confidencialidad: para garantizar que no accedan ni divulguen la información personas ni empresas no autorizadas.
  • Integridad: para asegurarse de que la información no se altera indebidamente, al proteger su exactitud e integridad.
  • Disponibilidad: para garantizar que la información esté disponible para las personas autorizadas cuando la necesiten.

Objetivos

Para alcanzar sus objetivos de seguridad de la información y cumplir sus políticas, Stripe ha establecido un sólido programa de seguridad de la información centrado en las personas, los procesos y la plataforma.

Este programa cuenta con controles en las siguientes áreas:

Personas: se espera que todos los empleados de Stripe ayuden a respaldar los objetivos de «la seguridad ante todo». Stripe se esfuerza en preparar a sus equipos para lograr estos objetivos al impartir sesiones de formación y concienciación, de manera que todos ellos se mantengan informados sobre los eventos y riesgos en materia de seguridad. A este respecto, algunos de los controles establecidos son:
- equipos y responsables especializados en seguridad de la información;
- programa de gestión de riesgos tecnológicos;
- comprobación de antecedentes;
- programa de sensibilización en materia de seguridad;
- documentación de planteamientos y directrices sobre codificación segura.

Procesos: Stripe ha definido procesos empresariales para garantizar el cumplimiento de sus objetivos de seguridad de la información mediante la gobernanza de la seguridad, el desarrollo seguro y las operaciones de seguridad. Estos procesos incluyen:
- los procesos de acceso de los usuarios se basan en el concepto del mínimo privilegio;
- estrategias de desarrollo formal que integra el análisis y las pruebas de seguridad;
- procesos de gestión de la vulnerabilidad;
- protección contra el malware;
- procesos de supervisión y alerta de seguridad;
- evaluación de los riesgos de seguridad de terceros;
- gestión y respuesta ante incidentes.

Plataforma: la infraestructura de producción de Stripe está diseñada para aceptar sistemas seguros y de alta disponibilidad que garanticen que los servicios de Stripe estén protegidos y disponibles para satisfacer las necesidades de los clientes. La plataforma de Stripe se compone de los siguientes elementos:
- proveedores de infraestructura de servicios (IaaS) en la nube para aprovechar las características del sector;
- una infraestructura con capacidad de recuperación ante desastres distribuida en varios centros de datos;
- procesos automatizados de desarrollo de sistemas de apalancamiento para garantizar la creación de sistemas totalmente seguros;
- replicación de datos;
- conexiones de red internas y externas cifradas.

Cumplimiento de la normativa de seguridad de la información

Como procesador de pagos, Stripe está sujeto a numerosas normas sectoriales y reglamentarias internacionales. Para facilitar que se cumplan, ha creado un programa de cumplimiento de la normativa de seguridad que ayuda a identificar, controlar y cumplir con los diferentes requisitos obligatorios en materia de seguridad de la información a los que está sujeto. Este programa de cumplimiento también incluye certificaciones de proveedores externos, tales como:
- Certificación PCI DSS de nivel 1
- Autenticaciones SOC2 Tipo 2
- Certificación obligatoria de ciberseguridad (Reino Unido)

Estas autentificaciones y certificaciones se renuevan anualmente y los resultados están a disposición de los clientes de Stripe previa solicitud.