All the security details
Datos de pago protegidos
Cumplimiento con PCI nivel 1
Los sistemas de procesamiento de tarjetas cumplen con los parámetros de seguridad de información PCI (PCI-DSS) nivel 1.
Prácticas óptimas de cifrado
El desarrollo de web se adhiere a los parámetros de codificación estándar del sector, como los que recomienda OWASP.
Actualizaciones de seguridad sistemáticas
Se instalan actualizaciones y parches de seguridad en servidores y equipos de forma oportuna.
Almacenamiento de datos en cumplimiento
Square prohíbe el almacenamiento de números de tarjetas, datos de banda magnética y códigos de seguridad en dispositivos de clientes.
Rigurosos controles criptográficos
Square utiliza protocolos criptográficos y formatos de mensaje (como SSL, TLS y PGP) estándar del sector al transmitir información.
Hardware seguro
Square engineers security into every product from the ground up. It all comes out of the box with end-to-end encryption, so there’s no lengthy security configuration process in which mistakes can get made. We don’t outsource any of our essential product security to third-party vendors or services, whose security would be outside our control. Square designs, creates, and maintains it all in-house.
Streamlined product delivery
Security teams are involved at every stage of product delivery. Square has dedicated teams assigned to implementing security best practices at each step of the product journey, from software and hardware development to the factory supply chain to ongoing server operations and maintenance.
Secure information handoff
All sensitive data is encrypted in flight and at rest. We don’t allow servers to connect to Square unless the encryption (SSL/TLS) is in place and configured properly.
Engineering-first philosophy
Our security teams are staffed by engineers, not administrators. All our proprietary information security tools are engineer-friendly, streamlined for easy adoption, and built to facilitate protection of sensitive assets and data. Engineers are in charge of monitoring and maintaining all vital areas, such as:
- Log management
- Platform and network monitoring
- Identity and access management
- Application and hardware security
- Cryptography and key management
Secure Organization
Pruebas de intrusión
Constantemente probamos nuestras aplicaciones, infraestructura y planes de respuesta a incidentes. Con frecuencia involucramos a laboratorios de ensayo para que intenten vulnerar nuestra seguridad en áreas que queremos probar bajo condiciones forzadas.
Inteligencia contra amenazas
Aprovechamos grupos del sector y gubernamentales como ECTF y FSISAC para mantenernos al tanto de amenazas incipientes, llamadas fraudulentas y cambios en el ecosistema.
Recompensas por fallas públicas
Además de nuestras pruebas de intrusión planificadas, investigadores de recompensas públicas evalúan la seguridad de Square todos los días. Emitimos invitaciones globales las 24 horas del día, los 7 días de la semana a evaluadores de seguridad de todo el mundo para que intenten identificar áreas de potenciales vulnerabilidades a cambio de una recompensa. Si eres un investigador y crees haber descubierto una vulnerabilidad, infórmala en nuestra página Bugcrowd.
Revisiones de diseño del código
Configuramos un análisis automatizado del código fuente de Square para buscar puntos débiles. Cuando escribimos un código nuevo, implementamos un proceso de control de calidad sincronizado y pruebas en etapas antes de lanzarlo a producción. A lo largo de este proceso, las pruebas automatizadas sondean el nuevo código en busca de vulnerabilidades de seguridad.
Gobernanza de seguridad de la información
Nos comprometimos a trabajar con los estándares más altos de gobernanza de seguridad de la información para demostrar liderazgo en el sector. Por ese motivo, sometimos nuestro sistema de administración de seguridad de la información a validación externa y alcanzamos la renombrada certificación ISO 27001. Continuamos desarrollándonos sobre esa base para asegurar a nuestros vendedores y socios nuestro compromiso con proteger cada aspecto de nuestros productos y servicios.
Internal security
- Sensitive data, including application data and cryptographic keys, is strictly controlled on a need-to-know basis.
- Square requires two-factor authentication and strong password controls for administrative access to systems.
- All access to secure services and data is logged and audit logs are reviewed on a regular basis.
Costos de cumplimiento reducidos
Cumplir con todas las regulaciones por tu cuenta es costoso, e incluso si lo haces, el negocio promedio deja de cumplir con alguna norma cada nueve meses. Square sigue cumpliendo por ti. Quitamos de tu lista de pendientes las auditorías y los SAQ, el análisis de vulnerabilidades, la capacitación y el desarrollo de políticas, y la remediación. Además, a diferencia de otros procesadores de pago, no cobramos una comisión “regulatoria” mensual o anual.
| Para pequeños negocios | Para empresas grandes | Square para empresas | |
|---|---|---|---|
| Auditoría SAQ o PCI DSS | ~$50-$200 para el cuestionario de autoevaluación | ~$40k+ para auditoría en el sitio ~$5k+ para prueba de intrusión | $0 |
| Escaneo de vulnerabilidades | ~$100 - $200 por dirección IP | ~ $800+ | $0 |
| Desarrollo de capacitación y políticas | ~$70 por empleado | ~$5k+ | $0 |
| Reparación (incluye actualizaciones de software y hardware, etc.) | ~$100-$10k para pequeños negocios | ~$10k- $500k | $0 |
Paquete completo de seguridad
Los controles y procesos técnicos de seguridad que conforman el programa de seguridad de Square son auditados por terceros externos.
- SSAE-18 SOC1 y SOC2
- PCI DSS
- Seguridad de transacciones con PIN de conformidad con PCI
- Centro de introducción de clave PIN de conformidad con PCI
- EMV nivel 1 y nivel 2
- US Money Transmission licenses
- Visa Ready
- Mastercard MPOS and Mastercard Terminal Quality Management
- UK Cards Association / Common Criteria Audit
Pioneros en cumplimiento
Compliance professionals
Square employs a dedicated team of compliance professionals who are tasked with monitoring payment card industry changes and advising engineering teams throughout the development life cycle of our solutions.
Regulatory advocacy
We’re on the PCI Board of Advisors and influence the ongoing development of the PCI Security Standards. We’re well-positioned to be your advocate in conversations with regulators. We pioneered the use of software-based PIN entry and worked alongside the payments industry and the PCI Council during development of the new global standard.