Política de seguridad de la información

Política de seguridad de la información

Fecha de entrada en vigor: 3 de mayo de 2025

Propietario: A$S Print on Demand Services

1. Propósito

Esta Política de Seguridad de la Información establece los principios y requisitos para proteger la información confidencial, en particular los datos del titular de la tarjeta (CHD), procesados ​​a través de nuestra tienda en línea Shopify y los servicios de terceros asociados, de acuerdo con las mejores prácticas de la industria y los estándares PCI DSS.

2. Alcance

Esta política se aplica a todos los sistemas, contratistas y proveedores externos que almacenan, procesan o transmiten datos del titular de la tarjeta relacionados con las operaciones de comercio electrónico de A$S Print on Demand Services.

3. Seguridad de la red

Nuestra tienda Shopify opera con la infraestructura segura de Shopify, que incluye robustos mecanismos de protección de red como firewalls, sistemas de detección de intrusos y análisis periódico de vulnerabilidades. Shopify gestiona su propia red y cumple con el estándar PCI DSS Nivel 1, lo que garantiza que los datos de los titulares de tarjetas se procesen en un entorno seguro.

4. Política de uso aceptable

Todo el personal que acceda a sistemas o información relacionada con nuestro negocio de comercio electrónico debe seguir pautas de uso aceptables, que incluyen:

  • No se comparten credenciales de inicio de sesión.

  • Uso de dispositivos y navegadores seguros y actualizados.

  • Acceder a los sistemas sólo a través de cuentas autorizadas.

5. Proteger los datos almacenados

No almacenamos datos de titulares de tarjetas en nuestros sistemas. Toda la información de pago se gestiona de forma segura por proveedores externos que cumplen con el estándar PCI DSS: Tilopay y Powertranz.

6. Clasificación de la información

La información se clasifica en tres niveles:

  • Público : Información destinada al consumo público (por ejemplo, listados de productos).

  • Interno : Datos de operaciones comerciales no destinados al público.

  • Sensible : incluye información del cliente, registros de transacciones y datos del titular de la tarjeta manejados únicamente por servicios de terceros autorizados.

7. Acceso a datos confidenciales del titular de la tarjeta

Nuestro equipo interno nunca tiene acceso a los datos del titular de la tarjeta. Todas las transacciones se procesan directamente a través de:

  • Tilopay (pasarela de pago compatible con PCI DSS)

  • Powertranz (procesador compatible con PCI DSS Nivel 1)

Tanto Tilopay como Powertranz cifran los datos del titular de la tarjeta en todas las etapas de la transacción y no permiten el almacenamiento ni la transmisión de datos de la tarjeta en texto sin formato.

8. Seguridad física

Como operación de comercio electrónico en la nube, no mantenemos servidores físicos. Shopify y nuestros proveedores de pagos gestionan el alojamiento y el almacenamiento de datos en sus centros de datos seguros.

9. Proteger los datos en tránsito

Los datos están protegidos en tránsito a través de:

  • Cifrado HTTPS (SSL/TLS) para todo el tráfico web.

  • Comunicaciones API cifradas entre Shopify, Tilopay y Powertranz.

  • En ningún momento se transmiten datos del titular de la tarjeta sin cifrar.

10. Eliminación de datos almacenados

Dado que no se almacenan datos del titular de la tarjeta, no es necesario eliminarlos. Todos los datos de los clientes (por ejemplo, sus datos de contacto) almacenados en Shopify se conservan de acuerdo con nuestra política de privacidad y se eliminan de forma segura si se solicita o una vez transcurridos los plazos de conservación.

11. Concienciación y procedimientos de seguridad

Todo el personal está capacitado en:

  • Principios básicos de seguridad de la información.

  • Reconocer intentos de phishing e ingeniería social.

  • Importancia de proteger las cuentas con contraseñas seguras y 2FA.

12. Plan de respuesta a incidentes de seguridad de tarjetas de crédito (PCI)

En caso de que se sospeche o confirme un incidente de seguridad que involucre datos del titular de la tarjeta:

  1. Notifique inmediatamente al soporte de Shopify y a los proveedores de pago afectados.

  2. Iniciar una investigación interna.

  3. Informar a los clientes y partes interesadas, según sea necesario.

  4. Documentar incidentes y resoluciones para fines de cumplimiento.

  5. Revisar y mejorar las medidas preventivas.

13. Política de transferencia de información sensible

La información confidencial solo se transmite a través de canales seguros y encriptados. No se transfiere información confidencial por correo electrónico, chat ni formularios web no seguros.

14. Gestión de acceso de usuarios

Cuentas de usuario para Shopify, Tilopay y Powertranz:

  • Debe utilizar contraseñas seguras y 2FA.

  • Se les concede acceso según el principio del mínimo privilegio.

  • Se revisan trimestralmente para detectar cuentas innecesarias o inactivas.

15. Política de control de acceso

El acceso a los sistemas y datos se rige por controles de acceso basados ​​en roles (RBAC). Solo el personal autorizado puede ver la información del cliente, y nadie puede acceder directamente a los datos del titular de la tarjeta.

Revisión y mantenimiento:
Esta política se revisa anualmente o cuando se producen cambios significativos en la tecnología, los proveedores o la regulación directamente.

4o