Asegurar los gastos de empresa: nuestras funciones y certificados de seguridad

¿Por qué es importante la seguridad para tu equipo de finanzas y contabilidad?

Los profesionales de finanzas y contabilidad son los responsables de gestionar los datos financieros de su empresa y estos datos incluyen información sensible, como números de cuentas bancarias, información sobre tarjetas de crédito y otros datos de transacciones. Una simple filtración de datos puede provocar una pérdida financiera significativa, graves daños a la reputación del negocio y problemas legales. Por tanto, es crucial que los equipos financieros y los contables elijan un programa seguro que pueda proteger los datos financieros de su empresa de posibles ciberataques.

Además, los directores financieros y los CFO tienen la obligación legal de garantizar la seguridad de los datos financieros de su empresa. El Reglamento General de Protección de Datos (RGPD) y otras leyes destinadas a la protección de los datos exigen a las empresas que pongan en práctica medidas de seguridad apropiadas para proteger los datos personales. El incumplimiento de estas normativas puede dar lugar a cuantiosas multas y a inquietantes implicaciones legales

Mantenemos nuestro nivel de seguridad muy alto

Sabemos que todos los equipos financieros necesitan gestionar el gasto de forma eficaz, al tiempo que garantizan la seguridad y confidencialidad de sus datos financieros. Por esta razón, hemos implementado sólidas medidas de seguridad destinadas a proteger tus datos financieros de posibles ciberataques.

Un vistazo a los certificados y al cumplimiento de la normativa vigente de Payhawk:

Conformidad con PCI DSS
También conocido como Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago, el PCI DSS es un conjunto de estándares de seguridad que garantiza la seguridad del tratamiento de los datos de las tarjetas de crédito. El estándar es obligatorio para todos los negocios que acepten pagos con tarjeta de crédito de las marcas de tarjetas más importantes, como Visa, Mastercard, American Express o Discover.
El objetivo principal del PCI DSS es proteger los datos de los titulares de las tarjetas contra robos y fraudes mediante la implementación de un conjunto de requisitos de seguridad por parte de las empresas. Entre estos requisitos se incluyen el mantenimiento de una red segura, la protección de los datos de los titulares de las tarjetas y la puesta en práctica de una política de seguridad de datos.
Los negocios que son conformes con el PCI DSS deben validar que cumplen sus requisitos anual o trimestralmente, dependiendo del volumen de las transacciones que lleven a cabo. El proceso de validación implica la cumplimentación de un cuestionario de autoevaluación, la realización de un análisis de vulnerabilidad o la ejecución in situ de una auditoría por parte de un asesor de seguridad certificado.
La conformidad con el PCI DSS es muy importante para nosotros. Nuestra plataforma es totalmente conforme con el PCI DSS, ya que garantizamos la protección de todos los datos de las tarjetas de crédito de los clientes en todo momento. Llevamos a cabo periódicamente auditorías de seguridad y análisis de vulnerabilidad con el fin de garantizar que mantenemos el nivel de seguridad más elevado para tus gastos de empresa.

Con certificación ISO 27001
También nos sentimos muy orgullosos de contar con la certificación ISO 27001. Esta certificación demuestra nuestro compromiso con el mantenimiento del más alto nivel de seguridad para los datos de nuestros clientes. ISO 27001 es la norma internacional que describe las mejores prácticas para la gestión de la seguridad de la información. Esta norma fue publicada por primera vez por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) en 2005. Fue revisada posteriormente en 2013 y, más recientemente, en 2022.
Para obtener la certificación ISO 27001, las organizaciones deben llevar a cabo un riguroso proceso de auditoría. Este proceso conlleva una revisión de las políticas, procesos y controles de la organización para la seguridad de los datos destinada a garantizar que cumple los requisitos de la norma.

Conformidad con SOC 2 Tipo 2
Aproximadamente solo una décima parte de los proveedores de programas de gestión de gastos existentes en el mercado ha conseguido informes SOC 2 Tipo 2. Nos complace comunicar que, ahora, nosotros también somos conformes con SOC 2 Tipo 2. El estándar de conformidad con los requisitos SOC 2 es uno de los más reconocidos a la hora de notificar qué controles están en vigor para los sistemas de tratamiento de datos.
Es un proceso de cumplimiento voluntario desarrollado por el American Institute of CPAs (AICPA) que especifica cómo deben tratar las organizaciones los datos de sus clientes. Esta norma se basa en los Trust Services Criteria, que incluyen cinco principios: seguridad, disponibilidad, integridad del tratamiento, confidencialidad y privacidad.
Estos informes SOC 2 se adecúan a las particularidades de cada organización. Dependiendo de sus prácticas comerciales específicas, las organizaciones pueden diseñar controles que siguen uno o más de estos principios. Posteriormente, un auditor independiente evalúa estos controles para determinar la eficacia de su diseño y su modo de funcionamiento.

Conformidad con el RGPD

• ¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) o Reglamento (UE) 2016/679 es una ley de la UE para la protección de datos que entró en vigor en la Unión Europea (UE) el 25 de mayo de 2018. Sustituyó a la Directiva para la Protección de Datos de 1995 e introdujo cambios significativos en el modo en que se tratan los datos personales en la UE. El equivalente del RGPD en el Reino Unido es la Data Protection Act 2018 (DPA 2018), que incorpora el RGPD en las leyes del Reino Unido e incluye disposiciones adicionales específicas para el Reino Unido. La DPA 2018 se promulgó para garantizar la continuidad de las normativas para la protección de datos en el Reino Unido después de su salida de la Unión Europea.

• ¿Cuál es el enfoque de Payhawk respecto al cumplimiento del RGPD?

En calidad de empresa fintech en crecimiento, Payhawk se compromete a tratar los datos personales de sus usuarios de forma segura, legal y transparente de conformidad con el RGPD. Payhawk no tolera ninguna conducta, ni de sus empleados ni de sus contratistas y agentes, que viole de algún modo los requisitos del RGPD.

• ¿Cómo garantiza Payhawk la seguridad de los datos personales?

Payhawk ha implementado diversas medidas técnicas con el objetivo de garantizar la integridad y la seguridad de los datos personales que tratamos. Como mínimo, los datos personales están cifrados tanto cuando están «en reposo» como «en tránsito» y, para ello, se utiliza la encriptación AES 256, estándar del sector.

• ¿Dónde guarda Payhawk los datos personales?

Los datos personales de cuyo tratamiento se encarga Payhawk se guardan en servidores de Amazon Web Services (AWS) y Google Cloud Platform (GCP) ubicados en la UE. Más específicamente, los datos personales de los usuarios de Alemania se guardan en nuestros servidores en la nube en Alemania, mientras que los datos personales de otros usuarios de la UE se guardan en nuestros servidores de Bélgica.

Funciones generales relacionadas con la seguridad:

Autenticación bifactorial e inicio de sesión único (Google): La autenticación bifactorial requiere que los usuarios proporcionen dos formas de identificación para acceder a su cuenta, habitualmente una contraseña y un código único enviado a su correo electrónico o dispositivo móvil. El inicio de sesión único (SSO) permite a los usuarios acceder a múltiples aplicaciones con un solo conjunto de credenciales para el inicio de sesión. Esto reduce la necesidad de que los usuarios recuerden múltiples nombres y contraseñas, lo que puede incrementar el riesgo de brechas de seguridad debido a contraseñas débiles o a la reutilización de las contraseñas.

Opción de bloqueo de tarjetas: La opción de bloqueo automático de tarjeta permite a los usuarios bloquear su tarjeta en caso de que sospechen cualquier actividad fraudulenta o si pierden la tarjeta o se la roban. Esto impide la realización de transacciones no autorizadas y protege las cuentas de los usuarios de posibles pérdidas financieras.

Personalizar secuencias y límites de gasto: La opción Personalizar secuencias y límites de gasto permite a las organizaciones fijar secuencias de aprobación y límites de gasto específicos para diferentes usuarios o departamentos. De este modo se evitan gastos excesivos o innecesarios y se garantiza que todos los gastos sean debidamente autorizados y contabilizados.

Equipos de seguridad propios: Los equipos de seguridad propios incrementan la protección de las cuentas y datos de los usuarios mediante la monitorización de posibles amenazas para la seguridad, dando respuesta a los incidentes y poniendo en práctica las mejores prácticas relativas a la seguridad.

Análisis de vulnerabilidad: El análisis de la vulnerabilidad ayuda a identificar posibles fallos de seguridad en los sistemas y aplicaciones y nos facilita la resolución rápida de cualquier posible problema de seguridad.

Mitigación de DoS: La mitigación de DoS nos ayuda a prevenir los ciberataques y a dar respuesta a los ataques al servicio de forma proactiva.

Detección de amenazas: Con nuestros mecanismos internos para la detección de amenazas podemos identificar y dar una respuesta rápida a las posibles brechas de seguridad.

En Payhawk, ofrecemos todas estas funciones de seguridad global para garantizar que las cuentas y los datos de nuestros clientes estén totalmente protegidos. Contamos con un equipo de seguridad propio que revisa y actualiza periódicamente nuestras medidas de seguridad con el fin de impedir y mitigar posibles amenazas para la seguridad y mantener el nivel más elevado de seguridad y privacidad de los datos.

Tecnología de cifrado «a prueba de amenazas»

El cifrado de extremo a extremo es un método de comunicación segura que impide que cualquier tercero pueda acceder a los datos mientras están siendo transferidos entre dos dispositivos o sistemas. Esto significa que, incluso aunque se intercepten los datos durante la transmisión o se guarden en un servidor inseguro, el cifrado sigue protegiéndolos.

Es importante señalar que ninguna tecnología puede estar totalmente a salvo de la piratería, ya que existe la posibilidad de que un determinado ciberdelincuente pueda encontrar una vulnerabilidad o un exploit en un sistema. Sin embargo, el cifrado es una medida de seguridad crítica que puede ayudar a proteger datos sensibles contra accesos no autorizados.

Utilizamos el cifrado de extremo a extremo para proteger los datos sensibles de nuestros clientes, por ejemplo, los números de las tarjetas de crédito y los datos personales. Nuestra tecnología de cifrado garantiza la encriptación de todos los datos, tanto en tránsito como en reposo.

El compromiso con la privacidad y la protección de datos

Seguridad de terceros
La seguridad de terceros es un aspecto crítico de nuestro compromiso con la privacidad y la protección de los datos. Colaboramos con proveedores de servicios y vendedores terceros de confianza que comparten nuestro compromiso con la seguridad y la privacidad. Llevamos a cabo periódicamente valoraciones de la seguridad y la debida diligencia de nuestros vendedores con el fin de garantizar que cumplen nuestro elevado nivel de seguridad y privacidad.

Divulgación responsable
Nuestro compromiso con la privacidad y la protección de los datos va más allá de la simple protección de estos. También fomentamos que los responsables de la seguridad notifiquen cualquier posible vulnerabilidad o problema de seguridad que descubran en nuestros sistemas o aplicaciones con nuestro programa de divulgación responsable. Nos tomamos muy en serio todos los informes y trabajamos con rapidez para solucionar cualquier problema identificado con el fin de garantizar la continuidad de la seguridad y la protección de los datos de nuestros clientes.

La solución definitiva para estar tranquilo: los puntos clave

Ciertamente, la seguridad no es una opción, sino una necesidad para los profesionales del mundo de las finanzas y la contabilidad. No es una actividad que se lleve a cabo en un determinado momento, sino un proceso continuo. En Payhawk estamos constantemente monitorizando nuestra plataforma y actualizando nuestras medidas de seguridad con el fin de ir un paso por delante de las amenazas que puedan surgir. Proporcionamos a los equipos de finanzas y contabilidad el nivel más elevado de seguridad y calidad de los datos para garantizar la seguridad y la confidencialidad de su información financiera.
El gasto y la seguridad deben ir siempre de la mano en cualquier empresa. ¿Estás preparado para probar el programa de seguridad definitivo en el que puede confiar tu equipo financiero? Programa una demo hoy mismo.