Solicitar una demo

    Seguridad y cumplimiento de Vesta

    Última modificación: 12 de agosto de 2021

    Vesta tiene más de 25 años de experiencia en pagos, fraude y cumplimiento. Para nosotros, es esencial ofrecer la mejor seguridad y cumplimiento a nuestros partners y sus clientes. Queremos asegurarnos de que sepas que actuamos con la diligencia debida basándonos en el Triángulo CIA (confidencialidad, integridad y disponibilidad).

    Info Security-01

    La seguridad y el cumplimiento están incorporados en los procesos y la cultura de Vesta. Hemos sido pioneros en la adopción de los marcos de cumplimiento y las tecnologías asociadas. El panorama de la seguridad está en continuo cambio y nos esforzamos por mantenernos a la vanguardia y superar los requisitos.

    Cumplimiento

    A diferencia de otras compañías del ámbito de los pagos y el fraude, Vesta lleva más de diez años cumpliendo la normativa, lo que ha sido acreditado por asesores y auditores externos. Estos controles son validados internamente de manera cíclica y por parte de asesores y auditores externos.

    PCI 3.2.1 DSS Nivel 1 – Empresa y Proveedor de Servicios

    Vesta fue pionera en la adopción de los PCI DSS en 2004, cuando se publicó el primer PCI DSS, y hemos cumplido con el Nivel 1 del PCI DSS desde 2006. El PCI DSS Nivel 1 es importante para Vesta debido a que es certificado por un Evaluador de Seguridad Calificado (Qualified Security Assessor, QSA) de la PCI. La certificación de un tercero asegura que cumplimos con los controles y que no nos autoevaluamos. También se certificó a Vesta como Empresa y Proveedor de Servicios de Nivel 1, lo que es único en la industria.

    PCI 3-D Secure (PCI 3DS) Tipo 2 Nivel 1

    Vesta también cuenta con la certificación PCI 3-D Secure (PCI 3DS) Tipo 2 acreditada por un QSA externo, que es un estándar más nuevo dentro de la PCI. Decidimos ser pioneros en la adopción de este estándar para fomentar la confianza con nuestros partners, clientes y adquirientes. La certificación PCI 3DS ofrece protecciones adicionales para reducir el fraude y seguridad adicional para las transacciones con tarjeta no presente (CNP).

    SSAE 18 SOC 1 Tipo 2 (formalmente SAS 70/ SSAE 16)

    Vesta ha cumplido con los Controles de Sistemas y Operaciones (System and Organization Controls, SOC) desde 2005. Solo empleamos auditores externos certificados por el Instituto Americano de Contadores Públicos Certificados (American Institute of Certified Public Accountants, AICPA), lo que garantiza que realizamos nuestros controles de cumplimiento. Nuestro informe anual está disponible para todos nuestros partners.

    RGPD

    Vesta ha cumplido con el Reglamento General de Protección de Datos (RGPD) desde 2018 como Controlador de Datos.

    Seguridad

    El Programa de Seguridad de la Información de Vesta se basa en marcos estándares de la industria de eficacia comprobada. Entre estos marcos, se incluyen PCI, SSAE 18, CIS, la serie de controles NIST 800, ISO 2700x y otros. Si bien podemos no auditar formalmente según todos estos estándares, seguimos minuciosamente las mejores prácticas de la industria en estos marcos e incorporamos los aspectos críticos de control a fin de proporcionar un enfoque holístico de seguridad de la información.

    Equipo especializado en seguridad y cumplimiento con supervisión 24/7

    Vesta cuenta con un equipo de seguridad y cumplimiento que tiene décadas de experiencia y certificaciones de la industria, como SANS GIAC, (ISC)2, ISACA y otras. Una de las características más importantes del equipo es investigar constantemente y ampliar nuestros conocimientos para combatir el siempre cambiante panorama de las amenazas y mantener la seguridad de los datos de nuestros partners y clientes. Además, creemos firmemente en la capacitación interdisciplinaria de todos los miembros del equipo para minimizar los silos de conocimiento. Vesta también supervisa todos nuestros entornos con un Centro de Operaciones de Red que funciona 24/7 y está coordinado con nuestro equipo de Seguridad y Cumplimiento.  

    Diligencia debida cíclica y frecuente

    Muchas compañías hacen lo mínimo requerido para aprobar sus evaluaciones y auditorías de cumplimiento. En Vesta, creemos que esto no es suficiente y hemos adoptado un proceso mensual cíclico que involucra una variedad de controles en todos nuestros entornos. Estos controles superan ampliamente los requisitos tanto desde el punto de vista técnico como de frecuencia.

    • Un Proveedor de Escaneo Aprobado (Approved Scanning Vendor, ASV) de la PCI escanea todas las superficies externas de Vesta mensualmente
    • Se realizan escaneos de descubrimiento en todos los entornos de Vesta mensualmente
    • Se revisan las vulnerabilidades y se evalúan y priorizan los riesgos mensualmente
    • Vesta utiliza una supervisión de vulnerabilidades en directo que informa a nuestra consola varias veces al día
    • Se ejecutan los parches y la reparación de vulnerabilidades a lo largo del ciclo mensual de manera semanal
    • Se analizan las cuentas de usuarios mensualmente
    • Dos compañías consultoras de seguridad diferentes realizan las pruebas de penetración y segmentación de la red dos veces al año
    • Se realizan muchos otros controles cíclicos con frecuencia

    Comunicación segura de datos, privacidad y encriptación

    Para Vesta, es fundamental proteger tus datos, los datos de tus clientes y nuestros propios datos. Durante más de diez años, Vesta ha utilizado tecnologías empresariales de encriptación que superan los requisitos de cumplimiento. Vesta aplica enfáticamente los principios de mínimo privilegio y de no repudio de conformidad con las mejores prácticas de la industria.

    En el caso de los datos en reposo, Vesta solo implementa las tecnologías empresariales de encriptación FIPS 140-2 para proteger los datos. En la actualidad, utilizamos varias tecnologías tanto para el módulo de seguridad de hardware (Hardware Security Module, HSM) como para la encriptación de disco, aplicando la fortaleza del cifrado AES-256 de acuerdo con las mejores recomendaciones del Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, NIST) y la PCI. Todos los puntos finales de Vesta implementan el protocolo TLS 1.2 de conformidad con la PCI sin cifrados débiles. Además, un Proveedor de Escaneo Aprobado (Approved Scanning Vendor, ASV) de la PCI escanea estos puntos finales todos los meses.

    Máxima seguridad, investigación y retroalimentación

    En Vesta, nos esforzamos constantemente por ser los mejores en materia de seguridad, cumplimiento y privacidad. Si bien no podemos comentar sobre todos nuestros procesos y tecnologías, te garantizamos que actuamos con la diligencia debida para estar seguros y que investigamos constantemente para mantenernos a la vanguardia. También valoramos la retroalimentación de nuestros partners y, a menudo, incorporamos las ideas y las tecnologías que nos sugieren. La seguridad y el cumplimiento son un esfuerzo conjunto de toda la compañía y no un mero ejercicio de “marcar una casilla”.