Seguridad de nivel empresarial en la que puede confiar

Shield icon

Nuestra certificación ISO 27001, acreditación TÜV Saarland y controles de seguridad integrales protegen los datos de pago de sus clientes en cada punto de contacto, brindándole a usted y a sus usuarios total confianza en cada transacción.

Confiado por los equipos más exigentes en seguridad

Principales características de seguridad

Cifrado de datos en tránsito sin almacenamiento de credenciales bancarias

Uso de credenciales exactamente como las proporciona el banco, sin necesidad de credenciales adicionales

Derechos y privilegios de acceso detallados para comerciantes y empleados de Trustly

Periodos de retención de datos conforme al RGPD

Shield icon

Comunicación únicamente por SSL/TLS

Hospedaje en la Unión Europea, en nuestros propios servidores y servicios en la nube

Capacidades de recuperación ante desastres y continuidad del negocio para garantizar la disponibilidad del servicio

Verificaciones externas de seguridad

Trustly implementa las mejores prácticas para mantener el cumplimiento con los siguientes estándares y normativas, garantizando a sus usuarios que toda la información proporcionada está completamente protegida.

Para solicitar acceso a los documentos y certificaciones mencionados, por favor complete nuestro formulario.

ISO Icon
Check mark

ISO 27001

Trustly está certificado bajo ISO 27001 y sus servidores se alojan en instalaciones certificadas ISO 27001.

TUV Approved pament system
Check mark

Protección de datos

Trustly cuenta con la acreditación TÜV Saarland bajo el estándar "Protección de Datos Aprobada".

TUV Approved pament system
Check mark

Estándares de pagos

Trustly está acreditado conforme a los estándares TÜV Saarland de “Sistema de Pago Aprobado”.

Check mark

Pruebas de penetración

Se realizan pruebas de penetración por empresas externas.

Qualys
Check mark

Calificación SSL/TLS “A”

El cifrado en tránsito de Trustly utiliza exclusivamente TLS y tiene calificación "A" en la prueba de Qualys SSL Labs.

GDPR Compliant Icon
Check mark

Cumplimiento RGPD

Trustly cumple con el RGPD y considera la privacidad esencial para pagos seguros.

Enlaces rápidos

Medidas TécnicasControles organizativos de seguridad

Medidas Técnicas

Monitoreo y prevención de ataques

  • La organización emplea herramientas para la detección y prevención de intrusiones basadas en red.
  • Así como firewalls para aplicaciones web de capa 7.

Anti-malware

  • Instalación en todos los endpoints (ordenadores, portátiles, smartphones y tablets).
  • Uso de firma de código, sandboxing y cuarentena de archivos en dispositivos móviles.
  • Se utilizan tecnologías EDR/XDR como agentes antimalware en todos los escritorios y laptops.
  • Tecnología EDR/XDR gestionada 24/7 desde un Centro de Operaciones de Seguridad (SOC).
  • Gestión centralizada por personal autorizado.

Acceso a datos

  • Controles estrictos para limitar acceso a datos solo a servidores y aplicaciones confiables mediante canales cifrados y autenticación fuerte.
  • Control de acceso a aplicaciones críticas y datos solo desde dispositivos o endpoints autorizados con cifrado y autenticación robusta.
  • Autenticación multifactor (MFA) para el personal en acceso a datos críticos.
  • Acceso restringido para consultores, quienes requieren endpoints confiables.

Cifrado

  • Conexiones HTTPS entrantes protegidas con al menos TLS 1.2.
  • Seguridad equivalente para otros canales cifrados (Ipsec, SSH, SFTP).
  • Cifrado asimétrico con RSA (mín. 2048 bits) o ECC (curvas estándar como P256).
  • Cifrado simétrico AES con mínimo 256 bits.
  • Cifrado completo de disco en endpoints.
  • Copias de seguridad fuera del sitio protegidas con cifrado fuerte.
  • Correos electrónicos cifrados en tránsito con TLS oportunista y dominios protegidos con TLS forzado.
  • Los dominios de correo electrónico específicos están protegidos con cifrado TLS obligatorio durante la transmisión.
  • API para comerciantes con firmas criptográficas para solicitudes y respuestas, garantizando autenticidad y minimizando riesgos MITM.
  • Servicio de pago con cifrado punto a punto asimétrico por sesión para datos sensibles.

Firewalls y listas de control de acceso (ACL)

  • Firewalls locales de capa 3 para apoyar listas de control de acceso.
  • Firewalls capa 3 para controlar tráfico entre internet público y la organización.
  • Firewalls capa 7 para inspección y control del tráfico hacia los servicios.
  • ACLs para comunicación entre redes, sitios y nubes.
  • Se utilizan ACL de sistema para controlar el acceso al sistema o a los objetos (por ejemplo, objetos de almacenamiento).
  • ACLs gestionadas por personal autorizado, revisadas periódicamente y basadas en descripción de puesto o diseños preaprobados.
  • Las ACL se revisan de forma regular (según la clasificación) o cuando ocurren cambios significativos.

Control lógico de acceso

  • Implementado para todos los sistemas y servicios.
  • Permisos asignados mediante proceso de aprobación según descripción de puestos.
  • Permisos basados en mínimo privilegio.
  • Revisión periódica conforme a clasificación de sistemas o servicios.

Registro de eventos

  • Registro centralizado para aplicaciones que forman parte del servicio de pagos.
  • Acceso a registros solo para personal autorizado bajo principio de necesidad.
  • El sistema de gestión de logs está gestionado por personal autorizado.
  • Sistema de gestión de registros con alertas automáticas.

Herramientas de Gestión de Dispositivos Móviles (MDM)

  • La organización implementa una solución MDM para los dispositivos de endpoint (escritorios, laptops, teléfonos inteligentes y tabletas) tanto para empleados como para contratistas a largo plazo dentro de la organización.
  • La solución MDM controla quién tiene acceso a cada endpoint utilizando acceso condicional y autenticación de dos factores.
  • La solución MDM gestiona las configuraciones de los endpoints, como las aplicaciones permitidas, así como las configuraciones de seguridad como el cifrado y las credenciales de acceso.
  • La solución MDM gestiona las actualizaciones de los endpoints como el sistema operativo y las aplicaciones que pueden enviarse a dispositivos específicos si es necesario.
  • La solución MDM se puede utilizar para bloquear o borrar remotamente los endpoints perdidos.
  • La solución MDM es gestionada por personal autorizado.

Autenticación multifactor

  • La organización implementa autenticación multifactor (MFA) tanto para los servicios proporcionados como consumidos por la organización.
  • La organización implementa varios enfoques para MFA basados en la clasificación de sistemas/servicios/datos:
    1. Dispositivo MFA con token de hardware
    2. Certificados de dispositivo
    3. Certificados de usuario
    4. Token MFA de software (como TOTP)
    5. MFA por SMS (mensaje de texto)

Actualizaciones regulares de software

Las actualizaciones de seguridad se instalan automáticamente.

Firma de código fuente

Los cambios en el código fuente se firman criptográficamente por el desarrollador usando GPG con clave privada en un HSM personal.

Herramientas de detección de vulnerabilidades

  • La organización implementa un programa de gestión de vulnerabilidades para los activos y servicios internos y expuestos públicamente.
  • La organización implementa un escáner de vulnerabilidades del código fuente.
  • La organización realiza una evaluación de vulnerabilidades de los activos y servicios internos y expuestos públicamente semanalmente, donde las vulnerabilidades se priorizan según su gravedad.

Controles de seguridad organizacionales

Políticas de uso aceptable (AUP)

La organización publica políticas de uso aceptable (AUP) para sus sistemas/servicios internos y notifica a los empleados/contratistas afectados cuando ocurren cambios.

Concientización y capacitación

La organización proporciona capacitación obligatoria para todos los empleados y contratistas en las siguientes áreas:

  • Seguridad de la información
  • Privacidad
  • Gestión de riesgos
  • Cumplimiento
  • Prevención de lavado de dinero

Planes de continuidad empresarial

La organización implementa una serie de actividades de continuidad:

  • Planificación de gestión de crisis
  • Planificación de continuidad empresarial
  • Planificación de recuperación ante desastres

Gestión de cambios

La organización implementa la gestión de cambios de acuerdo con el proceso ITIL.

Acuerdos de procesamiento de datos (DPAs)

La organización implementa acuerdos relacionados con el procesamiento de datos cuando se intercambia información personal entre la organización y terceros.

Planes de respuesta a incidentes

  • La organización implementa un programa de gestión de incidentes diseñado para maximizar la disponibilidad del servicio y minimizar las interrupciones para la organización y sus socios.
  • El programa de gestión de incidentes es gestionado por el departamento de Gestión de Servicios.

Pruebas de penetración

  • La organización realiza pruebas de penetración anualmente o cuando hay cambios importantes.
  • Las pruebas de penetración las realizan empresas de seguridad conocidas y establecidas.
  • La organización comparte el informe de la nueva prueba de penetración con terceros a solicitud.

Políticas de contraseñas

  • La organización implementa una política base de contraseñas para todos los sistemas/servicios.
  • Cada propietario de un sistema/servicio puede elegir superar la política base definida.
  • La política base de contraseñas está definida como:
    1. Longitud mínima: 10 caracteres
    2. Complejidad: exigida
    3. 2FA/MFA: exigido (cuando sea posible)

Instalaciones seguras

  • La organización proporciona sus servicios a través de proveedores de servicios en la nube bien conocidos (por ejemplo, AWS, GCP) y centros de datos de co-ubicación.
  • El acceso a los centros de datos de co-ubicación está estrictamente limitado a un pequeño número de empleados autorizados.

Ciclo de vida de desarrollo seguro (SDL)

La organización implementa un modelo de Ciclo de Vida de Desarrollo Seguro (SDL) para los servicios/productos desarrollados internamente.

Eliminación segura

La organización implementa la eliminación segura tanto de dispositivos de punto final como de dispositivos que ofrecen el servicio de producción.

Revisiones de código fuente y despliegue

La organización implementa el principio de cuatro ojos para la segregación de funciones en la mayoría de los cambios de código fuente.

Evaluaciones de proveedores

La organización implementa un proceso continuo para evaluar y valorar a los proveedores introducidos tanto por razones de producción como de productividad.

¿Ha detectado un problema de seguridad?

Agradecemos su colaboración para mantener los más altos estándares de seguridad. Si ha identificado alguna vulnerabilidad, por favor repórtela mediante nuestra política de divulgación responsable.

Reportar un incidente