Seguridad de transferencias de datos personales

Un elemento importante de la evaluación de las transferencias internacionales es el análisis de las medidas técnicas y organizacionales para mantener la seguridad de los datos personales. En cumplimiento con el Reglamento general de protección de datos (RGPD) y otras leyes de protección de datos aplicables, Shopify establece medidas técnicas y organizacionales exhaustivas para mantener la seguridad de los datos personales de los clientes y de los comerciantes.

Esta página proporciona un resumen de nuestro programa de seguridad, y hay más información disponible en la sección Seguridad.

Seguridad física

Shopify saca provecho de entornos de alojamiento virtual almacenados en centros de datos con certificaciones de seguridad estándar de la industria. Estos sitios están protegidos físicamente por elementos y zonas de seguridad de múltiples niveles con alarmas, vigilancia por circuito cerrado y personal de seguridad las 24 horas del día, los 7 días del año, jaulas privadas y candados físicos. No se extraen los discos duros de los centros de datos; en su lugar, se destruyen de forma segura dentro de las instalaciones. Nuestros servidores se encuentran alojados en centros de datos con las siguientes certificaciones:

Arquitectura

La plataforma de Shopify se basa en una arquitectura de tenencia múltiple, optimizada para el rendimiento y la resiliencia. Los datos personales de los comerciantes se segregan mediante controles a nivel de la aplicación. Cuando se implementan cambios, se reemplaza el entorno de aplicación en cada servidor (la aplicación, sus dependencias y sus archivos de configuración), lo que elimina vectores para la persistencia de malware.

Aplicación

Mantener la seguridad de las aplicaciones es esencial para nuestro proceso de desarrollo. Nuestros desarrolladores reciben capacitación constante sobre las mejores prácticas de seguridad para aplicaciones y realizan monitoreos en búsqueda de vulnerabilidades. Los propietarios de tiendas también pueden configurar funciones de seguridad adicionales. Por ejemplo, los titulares de cuenta pueden:

  • Activar la autenticación de múltiples factores en sus cuentas.
  • Ver los registros de actividad, incluyendo la actividad reciente de inicio de sesión por usuario.
  • Establecer niveles de acceso basados en funciones.
  • Hacer cumplir los permisos de alcance de la API específicos.

Autenticación en dos pasos

Esta función actúa como un nivel de seguridad adicional para dificultar aún más el acceso a las cuentas de nuestros comerciantes a personas no autorizadas. Esta capa adicional puede reducir la probabilidad de una apropiación fraudulenta de la cuenta.

Cuando inicies sesión, debes completar dos pasos distintos:

  1. Introducir la dirección de correo electrónico y contraseña.
  2. Autenticar el inicio de sesión con un dispositivo móvil o una clave de seguridad.

De esta manera, incluso si alguien más conoce la contraseña, no podrá iniciar sesión sin el segundo paso.

Shopify ofrece una serie de métodos de autenticación en dos pasos, incluyendo SMS, clave de seguridad y aplicación de autenticación.

Para ver más información, consulta Cómo proteger tu cuenta con la autenticación en dos pasos.

Encriptación

La información en tránsito se encripta usando los siguientes protocolos de cifrado estándar de la industria:

  • SSH
  • HTTPS-TLSv1.2

Shopify usa el protocolo HTTPS para la pantalla de pago, las tiendas online y las páginas del panel de control. Los datos de las tarjetas de crédito y otra información confidencial alojados en almacenes de datos operativos se cifran en reposo. A todas las contraseñas de usuario se les aplican resúmenes criptográficos aleatorizados con el algoritmo bcrypt cuando se almacenan.

Shopify usa Transport Layer Security (TLS), un protocolo de encriptación que protege las comunicaciones por internet, para proteger todas las conexiones al panel de control de comerciantes y a las tiendas. Cuando la barra de direcciones de un navegador junto a una URL que comienza con https:// muestra un ícono de candado, significa que la conexión usa TLS. TLS protege todas las conexiones a Shopify, incluidas las conexiones de comerciantes y las conexiones de clientes de comerciantes. Shopify admite la versión TLS 1.2 y versiones posteriores del protocolo TLS.

Los certificados TLS les brindan a las tiendas de los comerciantes los siguientes beneficios:

  • Agregan un nivel de seguridad al cifrar los datos personales de los clientes.
  • Ayudan a fomentar la confianza de tus clientes al mostrar un ícono de candado junto a la URL de la tienda online.

Para ver más información, consulta Seguridad de la Capa de Transporte y Habilitar conexiones seguras a tu tienda Shopify.

Cumplimiento de PCI

Shopify cumple con la certificación PCI DSS de nivel 1. El Consejo sobre Normas de Seguridad de la PCI es una organización reconocida a nivel mundial, dedicada a mantener estándares para el procesamiento seguro de las transacciones con tarjeta de crédito. Ayuda a proveedores como los comerciantes de Shopify a procesar pagos con tarjeta de crédito de forma segura y a proteger la información del titular de la tarjeta.

Para nosotros en Shopify es importante alojar tu tienda de forma segura, por lo que hemos invertido mucho tiempo y dinero para asegurarnos de que nuestra solución cumpla con las normas PCI DSS. Trabajamos arduamente para mantener la seguridad de nuestro alojamiento de ecommerce y de los carritos de compra a través de evaluaciones anuales para validar el cumplimiento de la norma y de la gestión continua de riesgos.

Todas las tiendas con tecnología de Shopify cumplen con la norma PCI DSS de manera predeterminada, para que nuestros comerciantes puedan mantener la información de pagos y los datos comerciales seguros.

Nuestro cumplimiento abarca los seis objetivos estándar de la norma PCI:

  • Mantener una red segura.
  • Proteger los datos del titular de la tarjeta.
  • Mantener un programa de gestión sostenible.
  • Implementar controles de acceso robustos.
  • Monitorear y probar las redes regularmente.
  • Mantener una política de seguridad de la información.

Consulta la página Cumplimiento de Shopify de la norma PCI para obtener más información.

Control de organización de servicios (SOC)

Los informes del control de organización de servicios (SOC) son evaluaciones de los sistemas de información de una empresa por parte de auditores externos que certifican que la empresa cumple con un conjunto independiente de estándares, incluidos los criterios relacionados con la seguridad y la disponibilidad de sus servicios.

Se han emitido a Shopify los siguientes informes por el servicio que brindamos a nuestros clientes:

  • SOC 2 Tipo II
  • SOC 3

Para ver más información, consulta nuestros informes de cumplimiento. Cualquier persona que haya iniciado sesión como comerciante puede encontrar el informe SOC 2 Tipo II en esa sección.

Otros elementos esenciales de seguridad

Los controles de seguridad de Shopify incluyen una serie de funciones esenciales de seguridad como estas:

  • Se realizan escaneos de vulnerabilidad y pruebas de penetración externos regularmente con el fin de identificar y solucionar las posibles puntos débiles en la seguridad.
  • Nuestro equipo de ingeniería de producción monitorea de forma continua el rendimiento de los servidores y las aplicaciones.
  • Nuestras herramientas de gestión de configuración garantizan que los servidores tengan aplicada la configuración actual.
  • Shopify monitorea las fuentes de divulgación de vulnerabilidades y actualizaciones de seguridad aplicables, y toma medidas según sea necesario.
  • Los comerciantes y los contratistas de seguridad pueden hacer pruebas en sus propias tiendas online.
  • Se recomienda a los comerciantes que informen sobre los resultados de la plataforma a nuestro Programa HackerOne.
  • Nuestros sistemas están diseñados para una rápida recuperación de datos en caso de una catástrofe. La recuperación de la copia de seguridad se prueba diariamente.
  • Shopify tiene múltiples niveles de redundancia para garantizar que los datos de los comerciantes estén disponibles para los comerciantes y que los clientes puedan usar las tiendas de los comerciantes.
  • Tenemos un proceso formal de respuesta ante incidentes y su resolución.
  • Los dispositivos de empleados se gestionan de forma centralizada para implementar y restringir las medidas de seguridad de acuerdo con las políticas de seguridad de Shopify.
  • La configuración del firewall de aplicaciones web (WAF) existe en toda la plataforma.
  • Shopify ofrece prevención contra la pérdida de datos a través del monitoreo de la plataforma y de la seguridad, como los sistemas de prevención/detección de fraudes (IDS/IPS) en entornos sensibles.
  • Shopify implementa controles de acceso según el rol de acuerdo con el principio de menor privilegio.
  • Proporcionamos asistencia para revisiones anuales de seguridad a través de nuestros informes de auditoría independientes, como el SOC 2 Tipo II.
  • Los empleados reciben capacitación sobre seguridad de la información y las obligaciones contractuales de confidencialidad.

Para obtener más información, consulta Seguridad.

¿Estás listo/a para comenzar a vender con Shopify?

Prueba gratis