Política de Seguridad para la Transmisión de Datos de Tarjetas
Versión: 1.1 | Última actualización: 1 de julio de 2025
1. Propósito
Proteger la confidencialidad e integridad de la información de tarjetas de crédito y débito procesada en CariBid, desde el momento en que el usuario la introduce hasta que la transacción es liquidada por nuestro proveedor de pago.
2. Alcance
Aplica a todas las operaciones de pago efectuadas en los dominios de CariBid (producción y entornos de prueba), incluidas subastas públicas, privadas y transacciones de lotes.
3. Controles de Seguridad Implementados
| Capa | Medida | Aplicación práctica |
|---|---|---|
| Transporte | TLS 1.3 + mTLS | Todo dato viaja cifrado; nuestras API se autentican mutuamente con el proveedor de pago. |
| Tokenización | Cofre seguro de la pasarela | El PAN se convierte en un token que no puede revertirse; futuros cobros se realizan solo con ese token. |
| No almacenamiento de PAN/CVC | Memoria volátil | Los datos sensibles se descartan al finalizar la operación; no se guardan en disco, bases de datos ni logs. |
| Autenticación | JWT + MFA interna | Cada invocación al backend porta un JWT firmado; el personal necesita MFA y rol explícito. |
| Validación | Algoritmo de Luhn y reglas de negocio | Estructura del PAN y coherencia de campos verificada antes de cualquier envío. |
| 3-D Secure | Verified by Visa & Mastercard ID Check | Flujo habilitado y logos mostrados en Home, Política de Seguridad y Checkout según guías de marca. |
| Monitoreo continuo | SIEM 24/7 | Detecta patrones de fraude, geográficas inusuales y exceso de intentos. |
| Registros auditables | Sin datos sensibles | Solo se guarda el token, últimos 4 dígitos de la tarjeta y metadatos necesarios. |
4. Cumplimiento Normativo
- Diseño alineado a PCI DSS 4.0: Arquitectura y procesos construidos para cumplir los 12 requisitos; la certificación formal se encuentra en progreso.
- Scans ASV trimestrales y pruebas de penetración externas anuales.
- GDPR y Ley 172-13 (RD): Derechos de acceso, rectificación, portabilidad y supresión garantizados.
- 3-D Secure 2.2: Autenticación fuerte del tarjetahabiente según EMVCo.
5. Responsabilidades del Usuario
- Mantener sus credenciales en secreto y activar 2FA cuando esté disponible.
- Realizar pagos desde dispositivos y redes confiables.
- Notificar inmediatamente cualquier actividad sospechosa.
6. Gestión de Incidentes
- Detección y contención inmediata mediante alertas automáticas.
- Notificación a usuarios afectados, banco emisor y reguladores según normativa.
- Análisis forense sin interrumpir subastas activas.
- Informe post-mortem y acciones correctivas.
7. Actualizaciones de la Política
La presente política se revisa al menos cada seis meses o ante cambios regulatorios/tecnológicos significativos. La versión vigente se publica siempre en la sección "Políticas de Seguridad" de nuestro sitio.
8. Contacto de Seguridad
Correo dedicado: security@caribid.com
9. Aceptación
Al utilizar los servicios de CariBid, reconoces y aceptas esta Política de Seguridad, así como tu compromiso de seguir las mejores prácticas aquí descritas para proteger tu información financiera.