conekta seguridad
DESCRIPTION
El tema de seguridad es de vital importancia en pagos en linea. En Conekta nos dedicamos a ofrecer un producto que cumple y excede todos los estándares de seguridad en la industriaTRANSCRIPT
Infraestructura en Seguridad
2
Infr
aest
ruct
ura
en Seguridad El tema de seguridad es de vital importancia
en Conekta. Nos dedicamos a ofrecer un producto que cumple y excede todos los estándares de seguridad en la industria.
El siguiente documento es un resumen de todos los pasos que Conekta ejecuta para asegurar la información de nuestros clientes.
BeneficiosGenerales
3
Infr
aest
ruct
ura
en Seguridad
Conekta ofrece una plataforma segura para corporativos y negocios que dependen en conekta para administrar sus negocios.
Implementación Segura
La información sensible es siempre enviada directamente a los servidores de Conekta, evitando desarrollar sistemas de seguridad por parte del negocio.
Diseñado para Seguridad
El flujo de pago está diseñado para prevenir ataques y otras violaciones de seguridad asociados con el manejo de datos sensibles de tarjeta.
Cumplimiento Automático de Seguridad
Al momento de utilizar Conekta, cualquier implementación de pagos automáticamente cumple con el estándar de seguridad PCI DSS necesario para procesar tarjetas.
Cumplimiento Estándar de Seguridad PCI DSS
4
Conekta cuenta con certificado de Seguridad PCI DSS 2.0 el cual es el estándar de seguridad clave dentro de la industria de pagos y es uno de los niveles más estrictos de certificación disponibles.
Infr
aest
ruct
ura
en Seguridad
Conekta es auditado por Trustwave, un proveedor de escaneo aprobado y un Asesor de Seguridad Calificado (QSA). Como adquirente con licencia de Visa y MasterCard, Conekta también se adhiere a las normas de funcionamiento de las redes de tarjetas.
Restricciones de Almacenamiento
Conekta nunca almacena códigos de seguridad (CVC2 o CVV2) o información de PIN. Almacenamiento de esta información es prohibida por los estándares PCI DSS.
95
Infr
aest
ruct
ura
en Seguridad
Entendiendo el Flujode la Transacción
Llave Pública Token Llave Privada
1 2 3
6
Flujo de TransacciónLlave Pública
Infr
aest
ruct
ura
en Seguridad
El tarjetahabiente ingresa la información de la tarjeta directamente en el navegador o aplicación móvil.
Una llave pública es un ID que puede ser utilizada en el código de interfaz (HTML). Tiene permisos limitados y solo es utilizada para identificar la cuenta del negocio y tokenizar (guardar) la información de la tarjeta de crédito en los servidores seguros de Conekta.
La información de la tarjeta es enviada directamente a los servidores de Conekta utilizando la llave pública para poder identificar al negocio.
Captura Segura de la Información de Tarjeta
Toda la comunicación entre el negocio y Conekta se lleva a cabo de manera segura utilizando SSL. Auditamos regularmente todos los detalles de nuestra implementación, los certificados y autoridades que utilizamos.
7
Flujo de TransacciónToken
Infr
aest
ruct
ura
en Seguridad
Con tokenización, el negocio puede guardar la información de la tarjeta en conekta, lo cual permite crear experiencias de compra con un solo clic y cargos recurrentes sin tener qué guardar la información de la tarjeta en los servidores del negocio.
Un token es un ID de un solo uso que reprenta la información de la tarjeta guardada en los servidores de conekta. Tokens son completamente seguros para guardar y solamente pueden ser utilizados por el negocios dentro de un marco de tiempo limitado.
Al momento de mandar la información a los servidores de conekta, conekta regresa un token temporal y de un solo uso, el cual representa la información de la tarjeta.
Este token es enviado y guardado en los servidores del negocio.
Después de guardar el token temporal, el negocio crea un ID de tarjeta para tener registro permanente de la información de la tarjeta.
Protección de la Información utilizando Tokenización
8
Flujo de TransacciónLlave Privada
Infr
aest
ruct
ura
en Seguridad
Una llave privada es un ID que permite crear pagos y consultar información sensible de la cuenta del negocio.
La llave privada se debe mantener oculta en los servidores del negocio y no debe de ser compartida o expuesta. Si la llave es expuesta, la llave privada debe ser reajustada.
La llave privada tiene permisos exclusivos para poder crear cargos y obtener información de la cuenta como cargos, depósitos, devoluciones, entre otros.
La llave privada es necesaria junto con el ID para poder crear un cargo. Este flujo mitiga el impacto de un fallo de seguridad en el servidor de cliente y evita el tener qué obtener un certificado de PCI DSS por parte del cliente.
Creando un Cargo: Llave Privada + ID
Autenticación y Administración de SesiónConekta requiere que todos los usuarios autentiquen cada vez que utilicen nuestra aplicación. Las sesiones inactivas son cerradas después de 10 minutos de inactividad. Las contraseñas nunca son guardadas en texto plano en los servidores de Conekta sino que son convertidas en un hash utilizando funciones lentas y de sal, lo cual incrementa la seguridad.
Infr
aest
ruct
ura
en Seguridad
Conekta requiere verificación de 2 pasos (2-step verification) para cambios en información sensible y permisos de usuarios.
* * * * * * * * * * *
Autenticar
9
Infr
aest
ruct
ura
en Seguridad
La seguridad es una de las mayores prioridades en todo lo que hacemos.
Para cualquier pregunta o ayuda con el tema de seguridad, contacta al equipo al correo [email protected]
10
MÉXICOOficinas Centrales
Nuevo León 254, Suite 303Col. Hipódromo CondesaDel. Cuauhtémoc México, DF 06100
+52 (55) 6379 4965
INFORMACIÓNY [email protected]
www.conekta.io