Política de seguridad
La confianza del consumidor en la seguridad de la información confidencial es uno de los aspectos más críticos en el proceso de pago. Cuando los clientes realizan un pago con su tarjeta o proporcionan la información de su cuenta, esperan que se protejan esos datos en todo momento. Mantener esa confianza es esencial para reducir el riesgo de fraude y mantener buenas relaciones con los clientes. Para esto, Haulmer ha implementado una serie de políticas de seguridad, siendo las más importantes:
Política de Control de Cambios
Las modificaciones a nuestros sistemas, ya sean planificadas o no, pueden afectar nuestra capacidad de entregar servicios de manera segura, a tiempo, dentro del presupuesto y en buen estado de funcionamiento. Además, los requisitos legales y de la industria que rigen las clasificaciones particulares de datos establecen controles sobre estos cambios. Este es el caso de los sistemas que procesan la información de la tarjeta de pagos, los cuales establecen que los cambios en los entornos PCI deben pasar por un proceso formal de control de cambios.
En general, para que se apruebe un cambio o mejora, se debe presentar un caso comercial sólido que demuestre que el riesgo y las oportunidades perdidas al no realizar el cambio son significativamente más altas de lo que son para realizar el cambio.
Política de Seguridad Anti-Malware
El software malicioso, llamado malware, incluidos los virus, los gusanos (worm) y los troyanos (Trojan), ingresa a la red durante muchas actividades de negocio aprobadas incluidos los correos electrónicos de los trabajadores y la utilización de Internet, de computadoras portátiles y de dispositivos de almacenamiento y explota las vulnerabilidades del sistema. El daño que pueden causar a nuestra organización hace necesario el establecimiento de una política de control de malware. De este modo podremos prevenir, detectar, controlar y eliminar la ejecución de cualquier software malicioso en los sistemas de la empresa.
Política de Protección de Equipos POS
Las medidas de seguridad más eficientes para la identificación/prevención de este tipo de ataques se basan en aplicar un correcto monitoreo y control de los terminales de venta (POS). En ese sentido, la política de protección de dispositivos POS está orientada a establecer normas que reglamenten en forma detallada todo el proceso de gestión de dispositivos que capturan datos de tarjetas, desde que se entrega un POS a un cliente, hasta que se da de baja, con el fin de reducir el riesgo de ataques, tales como, manipulación de los dispositivos y Skimming. Los sistemas de punto de venta (dispositivos de lectura de tarjetas utilizados en transacciones de manera presencial) están sujetos a los requisitos de seguridad física en la norma PCI DSS, por lo que cualquier manipulación para alterar su funcionamiento el Terminal se bloquea para prevenir cualquier fraude.
Políticas de Control de Acceso
Todos los accesos a componentes del sistema deben ser identificados para un correcto seguimiento, para esto se debe proveer de un ID único a los usuarios, estos deben hacer uso exclusivos de sus ID y de esta forma se busca garantizar que cada usuario se hará responsable de sus actos. Las medidas que se implementen están a cargo de procesos y usuarios conocidos y debidamente autorizados por el encargado de la gestión de usuarios.
Políticas de acceso Remoto
El acceso remoto inseguro es una de las principales causas de violaciones de datos de pago para las empresas. En nuestra política, describen una serie de normas aplicadas al Acceso Remoto a las redes de Haulmer, con el fin de minimizar las posibilidades de incumplimiento al permitir solo el acceso remoto cuando sea necesario y usar la autenticación multifactor.
Política de Almacenamiento Encriptado de la información:
Los métodos de protección como el cifrado, el truncamiento, el ocultamiento y la función de hash son importantes componentes para proteger los datos de los titulares de tarjetas. Si un intruso viola otros controles de seguridad y obtiene acceso a los datos cifrados, sin las claves de cifrado adecuadas, no podrá leer ni utilizar esos datos. También se deberían considerar otros métodos eficaces para proteger los datos almacenados para mitigar posibles riesgos. Por ejemplo, los métodos para minimizar el riesgo incluyen no almacenar datos del titular de la tarjeta.
Política transmisión de datos por redes públicas
Definir métodos de encriptación sólidos y protocolos seguros para la transmisión de datos del titular de la tarjeta es una misión y compromiso que tiene Haulmer con todos sus clientes. Todos los Puntos de Ventas (POS) que procesan y transmiten los datos de los titulares de las tarjetas están expuestos a ser víctima de un ataque, es por esto que Haulmer posee políticas de transmisión de datos completamente seguras para nuestros usuarios y clientes finales a través de módulos de seguridad (HSM).
Transmisión de datos por red
La comunicación entre los puntos de ventas (POS) y Proveedor de Servicio de Pago (PSP) deben ocurrir de forma segura, la norma certificadora PCI establece el uso de protocolos fuertes como los recomendados por NIST y OWASP.