El tema de seguridad es de vital importancia en pagos en linea. En Conekta nos dedicamos a ofrecer un producto que cumple y excede todos los estándares de seguridad en la industria
2. El tema de seguridad es de vital importancia
en Conekta. Nos dedicamos a ofrecer un
producto que cumple y excede todos los
estándares de seguridad en la industria.
Seguridad
en Infraestructura El siguiente documento es un resumen de todos los pasos que
Conekta ejecuta para asegurar la información de nuestros
clientes.
2
3. Beneficios
Generales
Seguridad
Conekta ofrece una plataforma segura para
en corporativos y negocios que dependen en
Infraestructura conekta para administrar sus negocios.
Cumplimiento
Implementación
Automático de
Diseñado para
Segura
Seguridad
Seguridad
La información sensible es
Al momento de utilizar
El flujo de pago está
siempre enviada
Conekta, cualquier
diseñado para prevenir
directamente a los
implementación de pagos
ataques y otras violaciones
servidores de Conekta,
automáticamente cumple
de seguridad asociados
evitando desarrollar
con el estándar de seguridad
con el manejo de datos
sistemas de seguridad por
PCI DSS necesario para
sensibles de tarjeta.
parte del negocio.
procesar tarjetas.
3
4. Cumplimiento
Estándar de
Seguridad PCI DSS
4
Conekta cuenta con certificado de Seguridad
PCI DSS 2.0 el cual es el estándar de
seguridad clave dentro de la industria de
pagos y es uno de los niveles más estrictos de
certificación disponibles.
Infraestructura en Seguridad
Conekta es auditado por Trustwave, un
proveedor de escaneo aprobado y un Asesor
de Seguridad Calificado (QSA). Como
adquirente con licencia de Visa y MasterCard,
Conekta también se adhiere a las normas de
funcionamiento de las redes de tarjetas.
Restricciones de
Almacenamiento
Conekta nunca almacena
códigos de seguridad (CVC2
o CVV2) o información de
PIN. Almacenamiento de
esta información es
prohibida por los estándares
PCI DSS.
5. Entendiendo el Flujo
de la Transacción
Seguridad
en Infraestructura 1 2 3
Llave Pública Token Llave Privada
95
6. 6
Flujo de Transacción
Llave Pública
Infraestructura en Seguridad
Una llave pública es un ID que puede ser utilizada en el código de
interfaz (HTML). Tiene permisos limitados y solo es utilizada para
identificar la cuenta del negocio y tokenizar (guardar) la información
de la tarjeta de crédito en los servidores seguros de Conekta.
Captura Segura de la Información de Tarjeta
El tarjetahabiente ingresa la
información de la tarjeta
directamente en el
navegador o aplicación móvil.
La información de la tarjeta
es enviada directamente a
los servidores de Conekta
utilizando la llave pública
para poder identificar al
negocio.
Toda la comunicación
entre el negocio y Conekta
se lleva a cabo de manera
segura utilizando SSL.
Auditamos regularmente
todos los detalles de
nuestra implementación,
los certificados y
autoridades que
utilizamos.
7. 7
Flujo de Transacción
Token
Infraestructura en Seguridad
Con tokenización, el negocio
puede guardar la
información de la tarjeta en
conekta, lo cual permite
crear experiencias de
compra con un solo clic y
cargos recurrentes sin tener
qué guardar la información
de la tarjeta en los servidores
del negocio.
Un token es un ID de un solo uso que reprenta la información de la
tarjeta guardada en los servidores de conekta. Tokens son
completamente seguros para guardar y solamente pueden ser utilizados
por el negocios dentro de un marco de tiempo limitado.
Protección de la Información utilizando Tokenización
Al momento de mandar la
información a los servidores
de conekta, conekta regresa
un token temporal y de un
solo uso, el cual representa la
información de la tarjeta.
Este token es enviado y
guardado en los servidores
del negocio.
Después de guardar el token
temporal, el negocio crea un
ID de tarjeta para tener
registro permanente de la
información de la tarjeta.
8. 8
Flujo de Transacción
Llave Privada
Infraestructura en Seguridad
Una llave privada es un ID que permite crear pagos y consultar
información sensible de la cuenta del negocio.
La llave privada se debe
mantener oculta en los
servidores del negocio y no
debe de ser compartida o
expuesta. Si la llave es
expuesta, la llave privada
debe ser reajustada.
La llave privada tiene
permisos exclusivos para
poder crear cargos y obtener
información de la cuenta
como cargos, depósitos,
devoluciones, entre otros.
La llave privada es necesaria
junto con el ID para poder
crear un cargo. Este flujo
mitiga el impacto de un fallo
de seguridad en el servidor
de cliente y evita el tener qué
obtener un certificado de PCI
DSS por parte del cliente.
Creando un Cargo: Llave Privada + ID
9. Autenticación y
Administración de
Sesión
Conekta requiere que todos los usuarios
autentiquen cada vez que utilicen nuestra
aplicación. Las sesiones inactivas son
cerradas después de 10 minutos de
inactividad. Las contraseñas nunca son
guardadas en texto plano en los servidores de
Conekta sino que son convertidas en un hash
utilizando funciones lentas y de sal, lo cual
incrementa la seguridad.
Infraestructura en Seguridad
Conekta requiere verificación de 2 pasos
(2-step verification) para cambios en
información sensible y permisos de usuarios.
m.moreno@mexico.com
* * * * * * * * * * *
Autenticar
9
10. Infraestructura en Seguridad
La seguridad es una de las mayores
prioridades en todo lo que hacemos.
Para cualquier pregunta o ayuda con el
tema de seguridad, contacta al equipo al
correo seguridad@conekta.io
10
11. MÉXICO
Oficinas Centrales
Nuevo León 254, Suite 303
Col. Hipódromo Condesa
Del. Cuauhtémoc
México, DF 06100
+52 (55) 6379 4965
INFORMACIÓN
Y VENTAS
contactO@conekta.io
www.conekta.io