Seguridad

Los datos de tarjeta están seguros con nosotros

Custodiamos los datos de tarjeta en el vault PCI DSS Nivel 1: cifrados, solo en centros de datos europeos, con accesos registrados. Tú nunca tocas el número de tarjeta: trabajas únicamente con el token.

Certificado PCI DSS Nivel 1 Solo UE

Datos cifrados en reposo

AES-256 en el vault

Centros de datos en la UE

Los datos de tarjeta nunca salen de Europa

Accesos rastreados

Cada solicitud queda registrada

Certificación

PCI DSS Nivel 1

Es el nivel más alto de conformidad PCI. Significa que nuestro vault es auditado cada año por auditores independientes, y tú heredas gran parte de esta protección.

Auditoría anual

Un auditor PCI cualificado (QSA) verifica cada año que cumplimos todos los requisitos. El informe está disponible para las redes de pago y, bajo petición, también para ti.

Controles trimestrales

Cada trimestre escaneamos la infraestructura expuesta en internet. Si encontramos algo que corregir, lo resolvemos antes del siguiente control.

Menos obligaciones para ti

Como los datos de tarjeta están en nuestro vault, tu perímetro PCI se reduce. A menudo puedes completar un cuestionario más sencillo (SAQ A) en lugar de gestionar todo por tu cuenta.

Solo en Europa

Los datos de tarjeta no salen de la UE

Almacenamos y procesamos los datos de tarjeta únicamente dentro de la Unión Europea. Sin copias fuera de Europa, sin cloud extra-UE para las operaciones del vault.

Diseñado para el GDPR

Contratos de tratamiento de datos, bases legales y documentación ya integrados. Sabes dónde están los datos y quién los gestiona: nosotros, en la UE.

Centros de datos en Alemania y Países Bajos

Infraestructura redundante con alta disponibilidad. El disaster recovery también se mantiene dentro de las fronteras europeas.

Sin transferencias al exterior

Las claves de cifrado, los mapeos de tokens y los registros de auditoría permanecen en jurisdicción de la UE. Sin riesgos asociados a transferencias de datos fuera de Europa.

Lo que te garantizamos

Datos de tarjeta almacenados solo en centros de datos de la UE

Claves de cifrado generadas y custodiadas en la UE

DPA conforme al art. 28 GDPR disponible

Sin subencargado extra-UE para el vault

Disaster recovery dentro de las fronteras de la UE

Cifrado

Cifrado en reposo y en tránsito

Los datos de tarjeta nunca viajan en texto claro. Los ciframos cuando los almacenamos y cuando los transferimos entre nuestros sistemas.

AES-256 en el vault

En reposo

Cada número de tarjeta en el vault está cifrado con AES-256. Las claves permanecen protegidas dentro de hardware dedicado (HSM). Nunca las exportamos en texto claro.

TLS 1.3 en tránsito

Solo conexiones seguras

Las API y los flujos de pago usan TLS 1.3. Las versiones antiguas están deshabilitadas. Aunque alguien interceptara el tráfico pasado, no podría descifrarlo.

Rotación de claves

Sin interrupciones

Las claves maestras rotan anualmente, como exige PCI DSS. El re-cifrado ocurre en segundo plano: para ti y para tus clientes no cambia nada.

AES-256

Cifrado en reposo

TLS 1.3

Entre sistemas

Anual

Rotación de claves

Hardware dedicado

Las claves viven en un HSM

Un HSM es un dispositivo hardware resistente a manipulaciones donde generamos y custodiamos las claves de cifrado. Los números de tarjeta nunca salen de allí en texto claro.

Certificado FIPS 140-2 Nivel 3

Estándar reconocido para la seguridad hardware. Si alguien intenta abrir físicamente el dispositivo, las claves se destruyen automáticamente.

Claves generadas dentro del HSM

La generación, rotación y destrucción ocurren solo dentro del perímetro del HSM. No guardamos claves maestras en disco ni en cloud genérico.

Resistencia a manipulaciones

Sensores y carcasas dedicadas detectan intentos de acceso físico. Ante cualquier anomalía, el material criptográfico se borra de inmediato.

Cómo fluye una solicitud

Tu solicitud API (TLS 1.3)

Motor PCI Proxy Recibe los datos de tarjeta y crea el token

HSM (FIPS 140-2 L3) Genera claves y cifra los datos de tarjeta

Vault cifrado (AES-256) Número de tarjeta cifrado, claves solo en el HSM

Protección activa

Controles anti-abuso

Además de cifrar y tokenizar, monitorizamos cada solicitud. Si algo no cuadra, bloqueamos o alertamos antes de que se convierta en un problema.

Límites de velocidad

Detectamos picos anómalos de solicitudes desde la misma cuenta, IP o clave API. Los umbrales configurables activan bloqueos temporales y alertan al equipo de seguridad.

Patrones sospechosos

Analizamos los flujos para identificar comportamientos anómalos: pruebas secuenciales, volúmenes inusuales, incoherencias geográficas. Las solicitudes marcadas se detienen según tu política.

Monitorización 24/7

Nuestro equipo de seguridad vigila errores, latencia y accesos a los datos. Si algo se desvía de la normalidad, intervenimos en cuestión de minutos.

Controles externos

También nos auditan desde fuera

No nos limitamos a las auditorías PCI: pruebas de penetración y escaneos regulares por terceros verifican que el vault permanece sólido.

Pruebas de penetración

Dos veces al año, empresas acreditadas simulan ataques sobre la red y la API. Cada problema encontrado se corrige y se vuelve a verificar.

Gestión de vulnerabilidades

Escaneos internos semanales en todos los componentes. Las vulnerabilidades críticas se resuelven con plazos definidos: las más graves en menos de 24 horas.

Informe SOC 2 Type II

Cada año, auditores independientes verifican seguridad, disponibilidad y confidencialidad. Bajo petición con NDA, compartimos el informe con los clientes.

Desarrollo seguro

Cada cambio en el código pasa por revisión y pruebas automatizadas. Antes de tocar el vault, evaluamos los riesgos de forma estructurada.

Si ocurre algo

Respuesta a incidentes

Esperamos que nunca sea necesario. Pero si se produce un evento de seguridad, lo detectamos, lo contenemos y te mantenemos informado con total transparencia.

24/7

Monitorización

Siempre activos

Registros y alertas correlacionados en tiempo real sobre toda la infraestructura

<15m

Detección

Primera intervención

Clasificamos la gravedad e iniciamos la contención en menos de 15 minutos

<72h

Comunicación

Te avisamos

Si es necesario, notificamos en menos de 72 horas según lo exigen el GDPR y PCI

Después

Mejora

Análisis y corrección

Post-mortem con acciones correctivas para evitar que se repita

Disponibilidad: 99,95% de uptime con failover automático. Un incidente en producción se escala al equipo senior en menos de 5 minutos.

99,95% uptime

Certificaciones

Estándares que cumplimos

PCI DSS, GDPR, SOC 2 y hardware certificado: no son simples etiquetas, son controles verificados cada año.

PCI DSS L1

Máximo nivel PCI

FIPS 140-2 L3

Hardware HSM certificado

SOC 2 Type II

Controles verificados

GDPR

Datos solo en la UE

Auditoría PCI anual

Informe de conformidad completo

Escaneos trimestrales

Vulnerabilidades externas

Pen tests semestrales

Terceros acreditados

¿Quieres saber cómo protegemos tus pagos?

Nosotros gestionamos el vault PCI. Tú integras la API y trabajas con los tokens. Menos riesgo, menos burocracia, los mismos pagos.

Cómo funciona Conformidad PCI Integraciones Contáctanos