Las tarjetas digitales no son solo una versión más moderna de la tarjeta de plástico. Forman parte de la cuenta del cliente, del programa de fidelización, del sistema de acceso o del canal de comunicación de la marca. Y dado que bancos, aseguradoras y cadenas minoristas trabajan con ellas, la seguridad de toda la plataforma debe cumplir con los exigentes requisitos de diversas industrias.

La plataforma PassMachine opera desde 2020 y hoy la utilizan más de 220 clientes en 30 países, desde cafeterías hasta aseguradoras y bancos, pasando por grandes cadenas minoristas. Con tal alcance y diversidad de clientes, la seguridad no es solo un complemento opcional. Es parte de la plataforma desde el primer día.

PassMachine opera bajo los principios del ciclo de vida de desarrollo de software seguro (Secure SDLC). Las reglas de seguridad y los mecanismos de control intervienen en cada fase, desde el diseño hasta el desarrollo y la operación diaria.

Cada año se realizan análisis estáticos de código, pruebas de penetración y revisiones de seguridad de la infraestructura. También probamos la comunicación entre los servidores y sistemas individuales para asegurarnos de que una posible intrusión en una parte no permita el movimiento a otras capas. Con cada cambio importante en la infraestructura, no se espera el ciclo regular y la auditoría de seguridad se realiza de inmediato.

Todas las pruebas son realizadas por una empresa externa certificada especializada en ciberseguridad. La verificación independiente es un estándar, no una excepción.

La seguridad debe funcionar en todo el entorno, no solo en la aplicación en sí. Por lo tanto, abordamos la protección en múltiples capas simultáneamente.

La plataforma incluye firewalls de aplicaciones, protección Anti-DDoS contra sobrecarga de servidores, detección de amenazas de seguridad y antispam. Monitoreamos la operación continuamente 24/7. Las bases de datos están cifradas a nivel de disco, las contraseñas se almacenan cifradas. La plataforma opera de acuerdo con el GDPR.

En el ámbito de los servicios digitales, no basta con "ser seguro". Es importante la capacidad de gestionar riesgos, manejar incidentes y mantener la resiliencia operativa a largo plazo, especialmente si los clientes provienen de sectores regulados como el financiero o el de seguros.

Como parte del grupo Mafra, que está sujeto a un régimen regulatorio más estricto, PassMachine cumple con los requisitos de NIS2. Más allá de este marco, también se implementan los requisitos del reglamento DORA, ya que los clientes del sector financiero trasladan estos estándares a sus proveedores como condición contractual.

PassMachine utiliza la infraestructura de centros de datos con certificación Tier III. Los componentes clave —alimentación, refrigeración y conexión de red— siempre están duplicados, por lo que la operación continúa incluso en caso de fallo de parte de la infraestructura.

El centro de datos proporciona seguridad física y sistema de cámaras, acceso controlado mediante tarjetas chip, PIN o biometría, sistema de extinción de incendios con extintor inerte y detección VESDA, monitorización en línea de la tecnología y operación continua 24x7x365. La conexión óptica se realiza desde varias direcciones independientes a través de la red troncal de O2. La infraestructura también admite soluciones híbridas que combinan servidores físicos con la nube.

La tarjeta digital funciona como un canal de comunicación a largo plazo entre la marca y el cliente. Contiene datos, trabaja con la identidad del usuario y suele estar conectada a otros sistemas de la empresa. Por lo tanto, una interrupción o un incidente de seguridad no solo afecta a la tecnología, sino que afecta a la relación con el cliente.

Construimos la seguridad sobre una combinación de pruebas periódicas, resiliencia operativa, procesos controlados e infraestructura de calidad. Y nos sometemos periódicamente a pruebas independientes.

Este artículo ha sido traducido mediante traducción automática.