Devengo es un servicio financiero en la nube para empresas que permite realizar pagos instantáneos a través de una API, tanto para ellas mismas como para sus clientes.

Por la propia naturaleza de sus servicios, Devengo procesa información confidencial de sus clientes y empleados sobre sus trabajadores, contratos, salarios, bajas, entre otros. Por ello, proteger esta información es tan importante para Devengo como transferir dinero lo más rápido posible cuando un empleado lo necesita.

Devengo está decidido a implementar y hacer cumplir controles efectivos en su Sistema de Gestión de Seguridad de la Información y a mejorarlo continuamente.

En línea con esta declaración de intenciones, Devengo manifiesta que:

  • Protege sistemáticamente los datos confidenciales que gestiona mediante diversos mecanismos de monitorización y registro de accesos a esta información, incluyendo el cifrado de los datos considerados sensibles.
  • Mantiene el control sobre la integridad de dichos datos confidenciales para protegerlos contra accesos no autorizados, modificaciones o pérdidas.
  • Registra y rastrea de manera segura todas las transacciones de pago para garantizar su trazabilidad si fuera necesario.
  • Cuenta con una infraestructura robusta que permite acceder y gestionar la información de forma constante.
  • Controla, restringe y supervisa que solo empleados y socios autorizados accedan a esta información confidencial y sensible, asegurando que solo se acceda al mínimo conjunto de datos necesario.
  • Está comprometido con la protección de la información personal de los empleados de sus clientes conforme al Reglamento General de Protección de Datos (GDPR), procesando en todo momento la información de manera lícita, clara y transparente.

El compromiso de Devengo con la seguridad y la privacidad es tal que todos sus diseños y desarrollos se realizan siempre con metodologías y técnicas que priorizan estos aspectos.

Fernando Cabello-Astolfi CEO 

Objetivos 

  • Alcanzar y mantener el nivel óptimo de seguridad para garantizar adecuadamente la continuidad del negocio, incluso en situaciones adversas.
  • Aumentar la integración y el apoyo mutuo entre los aspectos físicos y lógicos de la seguridad.
  • Colaborar en la gestión de otras disciplinas de seguridad, incluyendo aspectos laborales y medioambientales, teniendo en cuenta los criterios que fomentan la responsabilidad social corporativa.
  • Establecer la estructura de seguridad corporativa definida por los órganos de decisión de Devengo y crear los canales de comunicación adecuados entre todos los involucrados.
  • Cumplir con las normativas oficiales de seguridad y otros requisitos.
  • Establecer e implementar planes de formación y divulgación en seguridad entre los empleados de Devengo para mejorar la concienciación sobre todos los aspectos relacionados con la seguridad.
  • Definir un compromiso explícito con la mejora continua.
  • Integrar los distintos departamentos de la empresa en un sistema de gestión de seguridad que, bajo criterios comunes, aproveche sinergias y logre coherencia en recursos y acciones.

Personas 

  • La responsabilidad última de la seguridad recae en el equipo directivo, que analiza los riesgos y vulnerabilidades que puedan afectar al correcto funcionamiento del negocio y es directamente responsable de gestionar el desarrollo e implementación de medidas para mitigarlos.
  • Todos los empleados firman un acuerdo de confidencialidad y se comprometen a seguir la política interna de seguridad digital como parte del proceso de gestión interna.
  • Todo el equipo recibe formación en seguridad y protección de datos relevante para sus tareas y asume la responsabilidad de mantener la seguridad de los activos a su cargo.
  • Existe un procedimiento de incorporación de nuevos empleados que no concede permisos de acceso a la información por defecto y un procedimiento de baja que revoca los accesos adquiridos durante su permanencia en la empresa.

Activos y equipamiento

  • Gestión centralizada con inventario global, monitorización y alertas.
  • Política integral de seguridad para dispositivos remotos, que incluye bloqueo de dispositivos, gestión de contraseñas, restricción de instalación de software, protección contra malware, firewall, cifrado de discos, actualizaciones y bloqueo remoto.
  • Acceso al código fuente restringido y gestionado mediante claves privadas.
  • Proceso de desarrollo que incluye el registro de todos los cambios, revisión de cada modificación y ejecución sistemática de pruebas antes de aceptar cualquier alteración.
  • Proceso centralizado de selección, contratación y gestión de proveedores de software como servicio (SaaS).

Datos 

  • Todos los datos, incluidos los respaldos, se almacenan en la Unión Europea.
  • Toda la información sensible se guarda en una base de datos con un sistema de protección BCrypt.
  • La información sensible no se transmite a subprocesadores (por ejemplo, procesadores de pago) más allá de lo estrictamente necesario y, en esos casos, siempre a través de medios de conexión segura.
  • Toda la comunicación se realiza con cifrado de todos los datos transmitidos por Internet (usando un certificado SSL RSA-2048 y conexión segura HTTPS) o mediante una VPN.
  • Solo los equipos de incorporación, soporte y técnico tienen acceso a los datos de los empleados, con una restricción proporcional a los motivos de dicho acceso, registrando siempre estos accesos.
  • La integridad de los datos se garantiza mediante un exhaustivo proceso de pruebas que previene la modificación de datos debido a errores de código.
  • Se siguen buenas prácticas de diseño y desarrollo para evitar el envío de información protegida a través de canales no seguros.

Legal 

  • Contamos con un equipo de asesores que nos ayuda a mantener nuestro servicio siempre alineado con la legislación en todas las áreas de aplicación: laboral, fiscal, contable, protección de datos y servicios financieros.
  • Cualquier cambio realizado en la plataforma se somete a pruebas rigurosas para garantizar su correcto funcionamiento.
  • Estamos autorizados, directa o indirectamente, para ofrecer los servicios financieros que proporcionamos.
  • Proteger la privacidad de nuestros clientes y sus empleados es una prioridad para nosotros y siempre actuamos dentro del marco del RGPD bajo un modelo de procesamiento de datos únicamente. 

Plataforma tecnológica

  • Toda la plataforma de Devengo está alojada en Amazon Web Services en sus centros de datos en la Unión Europea, siguiendo las directrices y controles de ISO 27001, HIPAA y SOC 2 tipo II, entre otras certificaciones de seguridad que se auditan regularmente.
  • Todos los datos transmitidos por Internet están cifrados (mediante un certificado SSL RSA-2048 y conexión segura HTTPS).
  • Los entornos de desarrollo, prueba y producción están estrictamente separados en todos los niveles para minimizar errores y garantizar la máxima disponibilidad.
  • Toda la plataforma se encuentra monitorizada 24/7 para garantizar su estado y disponibilidad.
  • El acceso a la plataforma está debidamente asegurado con políticas de acceso de AWS y Heroku, protegidas con autenticación en dos factores (2FA).

Registro y auditoría

  • Se utiliza un registro general para toda la actividad en la plataforma, incluyendo el acceso y la modificación de datos.
  • También se registran por separado eventos técnicos, como errores o picos de carga, para garantizar el correcto funcionamiento de la plataforma.
  • El acceso a estos registros está restringido únicamente a quienes lo necesiten y siempre protegido con autenticación en dos factores (2FA).
  • Los registros de auditoría se conservan durante un año, salvo en aquellos casos en los que la ley exija un período de retención más prolongado, como en los movimientos de dinero.
  • Se han definido alertas en estos registros para detectar errores, riesgos de seguridad, cambios o actividad relevante en la plataforma.

No se almacenan en los registros datos particularmente sensibles que puedan representar un riesgo de seguridad posterior, como las contraseñas utilizadas por los usuarios para autenticarse

Disponibilidad 

  • Todo el proceso de despliegue de la plataforma de Devengo está automatizado, lo que permite iniciar una nueva instancia completa en menos de cinco minutos en caso de incidencia.
  • Se emplea un sistema de write-back, en el que cada cambio en los datos se escribe en registros write-ahead logs y se envía a un almacenamiento altamente resiliente en varios centros de datos. En caso de un fallo de hardware irrecuperable, estos registros pueden reproducirse automáticamente para restaurar la base de datos al estado más reciente en cuestión de segundos.
  • La base de datos principal está replicada en una configuración master-slave para garantizar la disponibilidad de los datos en caso de incidencia.
  • Devengo mantiene una política de copias de seguridad que incluye respaldos incrementales y completos, los cuales se prueban periódicamente.
  • Se dispone de un sitio con información sobre el estado del servicio al que los clientes pueden suscribirse si lo desean.

Gestión de incidentes y continuidad

  • Devengo cuenta con un procedimiento de gestión de incidentes de seguridad y ha capacitado a su equipo para responder ante ellos.
  • Cuando se detecta un incidente de seguridad, el equipo de guardia es notificado de inmediato y se define un plan de acción para mitigar sus consecuencias lo antes posible.
  • Tras la aplicación de medidas iniciales, se establecen acciones correctivas permanentes y se realiza un análisis post-mortem, cuyos resultados y medidas de mejora se comparten con el resto de la empresa para evitar futuras repeticiones.

Información de contacto y consultas

Si tienes alguna pregunta o necesitas más información, no dudes en ponerte en contacto con nosotros:

[email protected]

Alberto Molpeceres, co-fundador de Devengo

Author