# Seguridad en Stripe

Descubre cómo Stripe gestiona la seguridad.

Nuestros usuarios confían a Stripe sus datos confidenciales y confían en que también somos buenos custodios de los datos de sus clientes. Como empresa de infraestructura de pagos, nuestra postura de seguridad evoluciona continuamente para cumplir con las rigurosas normas del sector financiero mundial.

## Cumplimiento de normas y reglamentos

Stripe utiliza las mejores prácticas de seguridad para mantener un alto nivel de seguridad.

### Certificado para PCI

Un auditor certificado por PCI evaluó Stripe y nos certificó con el [PCI de nivel 1 para proveedores de servicios](https://usa.visa.com/splisting/splistinglearnmore.html). Este es el nivel de certificación más estricto disponible en el sector de los pagos. Esta auditoría incluye el almacenamiento de datos de tarjetas de Stripe (CDV) y el desarrollo de software seguro de nuestro código de integración.

Proporcionamos funciones a nuestros usuarios para automatizar algunos aspectos del cumplimiento de la normativa PCI.

- Analizamos el método de integración del usuario y le informamos dinámicamente de qué formulario de validación de PCI debe utilizar.
- Si un usuario se integra con Stripe Elements, Checkout, SDKs de Terminal o nuestras bibliotecas móviles, proporcionamos asistencia para completar su formulario de validación PCI ([Cuestionario de Autoevaluación](https://www.pcisecuritystandards.org/pci_security/completing_self_assessment)) en el Dashboard.
- Publicamos una [Guía de cumplimiento de la normativa PCI](https://stripe.com/guides/pci-compliance) para ayudar a educar a nuestros usuarios sobre el cumplimiento de PCI y cómo Stripe puede ayudar.

### Informes de Controles de Sistemas y Organizaciones (CSO)

Los sistemas, procesos y controles de Stripe se auditan regularmente como parte de nuestros programas de cumplimiento SOC 1 y SOC 2. Los informes SOC 1 y SOC 2 Tipo II se producen anualmente y se pueden proporcionar previa solicitud.

Los criterios de servicios fiduciarios (TSC) del Consejo de Normas de Auditoría del Instituto Estadounidense de Contadores Públicos Certificados ([AICPA](https://www.aicpa.org/)) desarrollaron el informe SOC 3. El SOC 3 de Stripe es un informe público de controles internos sobre seguridad, disponibilidad y confidencialidad. [Consulta nuestro último informe de SOC 3](https://docs.stripecdn.com/ebe9bebbdc5210a59ca18de4917ff3b152961a83fa3a98fbb81c758792472389.pdf).

### Norma EMVCo para terminales de tarjetas

Stripe Terminal cuenta con la certificación [EMVCo Nivel 1 y 2](https://www.emvco.com/approved-products/?search_bar_keywords=bbpos&tax%5Bapproved-products_categories%5D%5B90%5D%5B%5D=94%2C95%2C96%2C97%2C99) de las especificaciones EMV® para la seguridad e interoperabilidad de tarjetas y terminales. Terminal también cuenta con la certificación [Estándar de seguridad de datos de aplicaciones de pago de la normativa PCI](https://en.wikipedia.org/wiki/PA-DSS) (PA-DSS), la norma de seguridad global cuyo objetivo es evitar que las aplicaciones de pago desarrolladas para terceros almacenen datos seguros prohibidos.

### Marco de ciberseguridad del NIST

El conjunto de políticas de seguridad de la información de Stripe y su diseño general están alineados con el [Marco de ciberseguridad del NIST](https://www.nist.gov/cyberframework/new-framework). Nuestras prácticas de seguridad cumplen con la normativa de nuestros clientes empresariales que deben proporcionar productos seguros, como plataformas de almacenamiento y de informática en la nube bajo demanda (por ejemplo, DigitalOcean y Slack).

### Privacidad y protección de datos

Las prácticas de privacidad de Stripe cumplen con los sistemas CBPR y PRP, tal y como lo demuestran las certificaciones CBPR y PRP que Stripe ha obtenido. Consulta el estado de nuestras certificaciones [CBPR](https://privacy.trustarc.com/privacy-seal/validation?rid=31b93f92-8732-402c-9768-f15aabc763f4) y [PRP](https://privacy.trustarc.com/privacy-seal/validation?rid=712f8b7a-6d3c-4484-9522-3bf21d56818a). Stripe también cumple con el Marco de Protección de Datos de EE. UU. («EU-US DPF»), la Extensión del Reino Unido al EU-US DPF y el Marco de Protección de Datos Suiza-EE. UU., tal y como lo establece el Departamento de Comercio de EE. UU. Consulta nuestras [certificaciones](https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt0000000TQOUAA4&status=Active).

Implementamos continuamente procesos, procedimientos y prácticas recomendadas de privacidad y de protección de datos en constante evolución bajo todos los regímenes de privacidad y protección de datos aplicables. Para obtener más información, consulta los siguientes recursos de Stripe:

- [Política de privacidad](https://stripe.com/privacy)
- [Centro de privacidad](https://stripe.com/en-ca/legal/privacy-center)
- [Acuerdo sobre procesamiento de datos](https://stripe.com/legal/dpa)

## Seguridad de los productos de Stripe

La seguridad es uno de los principios que rigen Stripe para todas nuestras decisiones de diseño de producto e infraestructura. Ofrecemos una variedad de funciones para ayudar a nuestros usuarios a proteger mejor sus datos de Stripe.

### Autenticación de acciones sensibles

El Dashboard de Stripe admite varias formas de [autenticación multifactor](https://support.stripe.com/questions/enable-two-step-authentication) (MFA), entre las que se incluyen [claves de acceso](https://support.stripe.com/questions/sign-in-using-a-passkey), [claves de seguridad de hardware](https://support.stripe.com/questions/set-up-a-hardware-security-key-for-two-step-authentication), [algoritmos de contraseña única basada en el tiempo](https://support.stripe.com/questions/enable-two-step-authentication-using-a-mobile-app) (TOTP) y [SMS](https://support.stripe.com/questions/enable-two-step-authentication-via-text-messaging). Recomendamos las claves de acceso o las claves de seguridad de hardware, ya que son resistentes al phishing. La MFA basada en SMS es vulnerable al intercambio de SIM y a la interceptación, por lo que solo debe utilizarse como último recurso. También admitimos el [inicio de sesión único](https://docs.stripe.com/get-started/account/sso.md) a través del lenguaje de marcado de aserción de seguridad (SAML) 2.0, lo que te permite establecer requisitos de inicio de sesión, configurar el control de acceso e incorporar instantáneamente a los miembros del equipo mediante el aprovisionamiento de cuentas justo a tiempo (JIT). Si utilizas SSO con SCIM, puedes aplicar políticas de autenticación de forma centralizada a través de tu proveedor de identidad.

Debes autenticar las solicitudes de asistencia al usuario enviándolas desde el Dashboard después de iniciar sesión, o verificando el acceso a la cuenta antes de que ofrezcamos una respuesta de asistencia. Al exigir la autenticación, minimizamos el riesgo de proporcionar información a personas no autorizadas.

### Restricción de acceso y auditoría

Desde el Dashboard, puedes asignar diferentes [funciones](https://docs.stripe.com/get-started/account/teams.md) detalladas para habilitar el acceso menos privilegiado para tus empleados y crear [claves de acceso restringido](https://docs.stripe.com/keys.md#create-restricted-api-secret-key) para reducir el riesgo de seguridad y fiabilidad que supone la exposición de las claves API. También puedes [limitar las claves API a direcciones IP específicas](https://docs.stripe.com/keys.md#limit-api-secret-keys-ip-address) para evitar su uso desde ubicaciones no autorizadas.

También puedes consultar registros de auditoría de cambios importantes en las cuentas y actividades en tu [historial de seguridad](https://dashboard.stripe.com/security_history). Estos registros de auditoría contienen registros de actividad sensible de cuentas, como inicios de sesión o cambios en la información de la cuenta bancaria. Controlamos los inicios de sesión y anotamos:

- Si son de los mismos dispositivos o de los dispositivos habituales
- Si provienen de direcciones IP consistentes
- Intentos fallidos

Los usuarios pueden exportar información histórica de los registros. Para actividades urgentes, concretamente inicios de sesión desde direcciones IP y dispositivos desconocidos, Stripe envía notificaciones automáticas por correo electrónico al usuario, por lo que no es necesario revisar manualmente los registros.

### HTTPS y HSTS para unas conexiones seguras

Exigimos el uso de HTTPS para todos los servicios que utilizan *TLS* (TLS refers to the process of securely transmitting data between the client—the app or browser that your customer is using—and your server. This was originally performed using the SSL (Secure Sockets Layer) protocol) (SSL), incluyendo nuestro sitio web público y el [Dashboard](https://dashboard.stripe.com/dashboard). Revisamos periódicamente los detalles de nuestra implementación, incluyendo los certificados que emitimos, las autoridades de certificación que utilizamos y los algoritmos de cifrado que admitimos. Usamos [HSTS](http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security) para asegurarnos de que los navegadores solo interactúen con Stripe a través de HTTPS. Stripe también está en las listas precargadas de HSTS de todos los principales navegadores modernos. Nuestros sistemas bloquean automáticamente las solicitudes realizadas con versiones antiguas y menos seguras de TLS, [exigiendo el uso de al menos TLS 1.2](https://stripe.com/blog/completing-tls-upgrade).

Todas las comunicaciones internas de servidor a servidor de Stripe se cifran mediante el protocolo mTLS (Mutual Transport Layer Security). Stripe dispone de [claves PGP](https://docs.stripe.com/security/python-client-pgp-key.md) específicas para que puedas cifrar las comunicaciones por correo electrónico con Stripe o verificar los mensajes firmados que recibas de nosotros.

El dominio [stripe.com](https://stripe.com), incluidos los subdominios de Dashboard y API, se encuentra en la lista de los [principales dominios](https://chromium-review.googlesource.com/c/chromium/src/+/605062) para Chrome, lo que proporciona protección adicional frente a los ataques de homoglifos. De este modo, es más complicado crear páginas falsas que se parezcan a stripe.com en Chrome (por ejemplo, [strípe.com](https://xn--strpe-1sa.com)), que aparece como un punycode ([xn–strpe-1sa.com](https://xn--strpe-1sa.com)), lo que a su vez dificulta la suplantación de las credenciales de Stripe.

### Supervisión proactiva de Internet

Buscamos en Internet de forma proactiva las claves API de nuestros comerciantes. Si encontramos una clave comprometida, tomamos las medidas apropiadas y recomendamos al usuario que cambie su clave API. Usamos el Escáner de tokens de GitHub para alertarnos cuando las claves de API de un usuario se han filtrado en GitHub. Si encontramos páginas externas de suplantación que puedan atrapar a nuestros usuarios, trabajamos de manera proactiva con nuestros proveedores para eliminarlas y las reportamos a Google Safe Browsing.

## Protecciones de la infraestructura

Nuestros equipos de seguridad comprueban nuestra infraestructura de forma frecuente en busca de vulnerabilidades y realizando pruebas de penetración y ejercicios de equipo rojo. Contratamos a empresas de seguridad líderes en el sector para que realicen análisis de terceros de nuestros sistemas y abordamos de inmediato sus hallazgos. Nuestros servidores se reemplazan con frecuencia y automáticamente para mantener el estado del servidor y descartar conexiones o recursos obsoletos. Los sistemas operativos de los servidores se actualizan mucho antes de la fecha de finalización de la vida útil de la seguridad.

### Tecnología de tarjetas especializada

Stripe cifra los datos confidenciales tanto en tránsito como en reposo. La infraestructura de Stripe para almacenar, descifrar y transmitir los números de cuenta primaria (PAN), como los números de tarjeta de crédito, se gestiona en una infraestructura de alojamiento independiente y no comparte ninguna credencial con el resto de nuestros servicios. Un equipo especializado gestiona nuestro CDV en un entorno aislado de Amazon Web Services (AWS) que está separado del resto de la infraestructura de Stripe. El acceso a este entorno separado está restringido a un pequeño número de ingenieros especialmente capacitados y el acceso se revisa cada tres meses.

Todos los números de tarjeta se cifran en reposo con AES-256. Las claves de descifrado se almacenan en máquinas separadas. Tokenizamos los PAN de forma interna y aislamos los números brutos del resto de nuestra infraestructura. Ninguno de los servidores ni daemons internos de Stripe puede obtener los números de tarjeta en texto sin formato, pero pueden solicitar que las tarjetas se envíen a un proveedor de servicios en una lista de permisos estática. La infraestructura de Stripe para almacenar, descifrar y transmitir los números de tarjeta se ejecuta en un entorno de alojamiento independiente y no comparte ninguna credencial con los servicios principales de Stripe, como nuestra API y nuestro sitio web. Tratamos otros datos confidenciales, como la información de cuentas bancarias, de forma similar a como tokenizamos los PAN.

### Tecnología corporativa

Stripe adopta un enfoque de confianza cero para la gestión del acceso de los empleados. Los empleados se autentican utilizando el inicio de sesión único y la autenticación en dos pasos (2FA) con un token basado en hardware y mTLS a través de un certificado criptográfico en máquinas emitidas por Stripe. Después de conectarse a la red, los sistemas internos confidenciales y los que están fuera del alcance del trabajo estándar del empleado requieren permisos de acceso adicionales.

Supervisamos los registros de auditoría para detectar anomalías y vigilar intrusiones y actividades sospechosas, y también supervisamos los cambios en los archivos confidenciales de nuestra base de código. Todo el código de Stripe se somete a revisiones de varias partes y pruebas automatizadas. Los cambios en el código se registran en un registro inmutable y a prueba de manipulaciones.

Recopilamos constantemente información sobre los ordenadores portátiles proporcionados por Stripe para supervisar procesos maliciosos, conexiones a dominios fraudulentos y actividades de intrusos. Contamos con un proceso exhaustivo para incluir en la lista blanca el software permitido en los ordenadores portátiles de los empleados, lo que impide la instalación de aplicaciones no aprobadas.

## Mantenimiento de la postura de seguridad

Nuestros desarrolladores trabajan con expertos en seguridad al principio del ciclo de vida de un proyecto. Como parte de nuestro proceso de revisión de seguridad, los expertos en seguridad desarrollan modelos de amenazas y fijan límites de confianza que guían la implementación del proyecto. Los desarrolladores utilizan este mismo proceso para hacer cambios en las partes sensibles del código.

### Expertos especializados siempre disponibles

Contamos con varios equipos de seguridad especializados en distintos ámbitos de seguridad, entre las que se incluyen la infraestructura, las operaciones, la privacidad, los usuarios y las aplicaciones. Los expertos en seguridad están disponibles las 24 horas del día, los 7 días de la semana, a través de rotaciones de guardia. Nos centramos en elevar constantemente el nivel de las mejores prácticas para minimizar los riesgos de ciberseguridad.

### La seguridad es el trabajo de todos los empleados de Stripe

Exigimos a todos los empleados de Stripe completar la formación anual de seguridad y proporcionamos capacitación en desarrollo de software seguro a los ingenieros de Stripe. Ejecutamos campañas internas de phishing para poner a prueba a todos los empleados de Stripe a la hora de reconocer los intentos de phishing y señalarlos al equipo de seguridad adecuado.

### Gestión del control de acceso

Tenemos un proceso formal para conceder acceso a sistemas e información; revisamos con frecuencia y eliminamos los accesos inactivos de forma automática. Las acciones dentro de las áreas más sensibles de la infraestructura necesitan una revisión humana. Para habilitar las mejores prácticas para el control de acceso, nuestros expertos en seguridad crean primitivas para ayudar a los equipos de Stripe a implementar el principio del privilegio mínimo. Para minimizar nuestra exposición, contamos con una política de retención de datos que reduce los datos que conservamos mientras cumplimos con los requisitos reglamentarios y comerciales.

### Programa de comunicación de vulnerabilidades y recompensas

Mantenemos un programa de divulgación de vulnerabilidades y recompensas («recompensa por errores») que compensa a investigadores independientes de seguridad que nos ayudan a mantener seguros a nuestros usuarios. Al enviar un error de seguridad o vulnerabilidad a Stripe mediante[HackerOne](https://hackerone.com/stripe), reconoces que has leído y aceptado el [programas condiciones y términos](https://hackerone.com/stripe). Consulta nuestra política sobre HackerOne para más información sobre cómo participar en nuestro programa de recompensas por errores.

## See also

- [Guía de seguridad de la integración](https://docs.stripe.com/security/guide.md)
- [Inicio de sesión único (SSO)](https://docs.stripe.com/get-started/account/sso.md)
- [Lucha contra el fraude](https://docs.stripe.com/disputes/prevention.md)
- [Verificar eventos webhook](https://docs.stripe.com/webhooks.md#verify-events)
- [Direcciones IP de Stripe](https://docs.stripe.com/ips.md)