En NetisPay, la seguridad de la información de nuestros clientes y sus suscriptores es nuestra máxima prioridad. Como plataforma que facilita transacciones financieras para Proveedores de Servicios de Internet, implementamos un conjunto integral de medidas de seguridad diseñadas para proteger cada aspecto de la operación.
Nuestro compromiso se alinea con las exigencias de la Ley Especial contra los Delitos Informáticos (Gaceta Oficial N° 37.313) y los estándares de seguridad requeridos por las entidades bancarias reguladas por SUDEBAN con las que operamos.
Cifrado y Protección de Datos
HTTPS con TLS de grado industrial
Todas las comunicaciones entre los usuarios y nuestros servidores están protegidas mediante cifrado TLS 1.3, garantizando que los datos en tránsito no puedan ser interceptados ni alterados.
Cifrado AES-256-GCM en reposo
Los datos sensibles almacenados — credenciales de pasarelas bancarias, configuraciones de integración y datos bancarios — se cifran con el estándar AES-256-GCM, utilizado por instituciones financieras y gobiernos a nivel mundial.
Base de datos cifrada
Los datos almacenados en PostgreSQL están protegidos con cifrado a nivel de disco y conexiones cifradas entre la aplicación y la base de datos, eliminando puntos de exposición.
Secretos y claves protegidas
Las credenciales bancarias de cada ISP se almacenan cifradas individualmente. Ni siquiera el equipo de NetisPay puede acceder a las credenciales en texto plano sin los procedimientos de seguridad adecuados.
Autenticación y Control de Acceso
Sistema de roles y permisos
Cada usuario ISP opera bajo un sistema granular de roles (Propietario, Administrador, Finanzas, Soporte) con permisos específicos según el principio de mínimo privilegio.
Sesiones seguras con JWT
La autenticación utiliza tokens JWT almacenados en cookies httpOnly, imposibilitando el acceso desde JavaScript del navegador y protegiendo contra ataques XSS.
Protección contra ataques de fuerza bruta
Implementamos limitación de intentos de inicio de sesión, bloqueo temporal de cuentas tras múltiples fallos y detección de patrones sospechosos de acceso.
Detección de subdominios
El sistema multi-tenant verifica la legitimidad del subdominio en cada solicitud, impidiendo que un ISP acceda a datos de otro mediante manipulación de la URL.
Seguridad en Transacciones Financieras
Procesamiento bancario directo
Los pagos se procesan directamente a través de las APIs de bancos regulados por SUDEBAN (Banesco, Bancaribe, Banco Plaza, BDV). NetisPay nunca almacena contraseñas bancarias, PINes ni datos de tarjetas de los suscriptores.
Validación de webhooks
Cada notificación de pago recibida de las entidades bancarias es verificada criptográficamente (firma ECDSA o API-Key según el banco) para garantizar su autenticidad e integridad.
Conciliación bancaria automatizada
El módulo de conciliación cruza automáticamente los movimientos bancarios con las transacciones registradas, detectando discrepancias y previniendo errores o fraudes.
Contabilidad de doble entrada
Cada transacción genera registros contables balanceados (DÉBITO/CRÉDITO), proporcionando un rastro de auditoría completo e inmutable que permite verificar la integridad de cada operación.
Infraestructura y Disponibilidad
Infraestructura en la nube
La Plataforma opera sobre infraestructura de nube de nivel empresarial con redundancia geográfica, garantizando alta disponibilidad y recuperación ante desastres.
Protección DDoS y WAF
Contamos con protección contra ataques de denegación de servicio distribuido (DDoS) y un firewall de aplicaciones web (WAF) que filtra tráfico malicioso antes de que llegue a nuestros servidores.
Copias de seguridad automáticas
Realizamos copias de seguridad automatizadas de la base de datos con frecuencia diaria, almacenadas en ubicaciones geográficamente separadas para garantizar la recuperación de datos.
Monitoreo continuo
Sistemas de monitoreo en tiempo real supervisan el rendimiento, disponibilidad y seguridad de la Plataforma las 24 horas, alertando automáticamente ante cualquier anomalía.
Seguridad en el Desarrollo
Gestión de cambios estricta
Todo cambio en el código pasa por revisión de código, pruebas automatizadas e integración continua antes de ser desplegado en producción, minimizando el riesgo de introducir vulnerabilidades.
Protección OWASP Top 10
La aplicación está diseñada para proteger contra las 10 vulnerabilidades web más críticas según OWASP: inyección SQL, XSS, CSRF, deserialización insegura, entre otras.
Dependencias auditadas
Las dependencias de software se monitorean continuamente para detectar vulnerabilidades conocidas, aplicando parches de seguridad de forma prioritaria.
Registros de auditoría
Mantenemos registros detallados de todas las acciones realizadas en la Plataforma, proporcionando trazabilidad completa para cualquier investigación de seguridad.
Cumplimiento Normativo
Nuestra infraestructura de seguridad se alinea con las siguientes exigencias legales y normativas:
Ley Especial contra Delitos Informáticos
Cumplimos con las obligaciones de seguridad establecidas en la Gaceta Oficial N° 37.313, implementando controles para prevenir acceso no autorizado, espionaje informático y fraude electrónico.
Estándares bancarios SUDEBAN
Las integraciones con entidades bancarias cumplen los requisitos de seguridad exigidos por SUDEBAN, incluyendo cifrado de comunicaciones, validación de firmas y protección de datos transaccionales.
Derechos constitucionales
Respetamos y garantizamos los derechos establecidos en los artículos 28, 48 y 60 de la CRBV: acceso a datos personales (Habeas Data), secreto de comunicaciones y protección de la privacidad.
Mejores prácticas internacionales
Adoptamos principios de seguridad alineados con estándares internacionales como ISO 27001 y las directrices del NIST para la gestión de riesgos de ciberseguridad.
Nuestro compromiso con la seguridad es permanente y evolutivo. Continuamos invirtiendo en tecnología, procesos y capacitación para mantener una defensa robusta y proactiva frente a las amenazas emergentes. Si detecta alguna vulnerabilidad o tiene preocupaciones de seguridad, contáctenos inmediatamente en contacto@netispay.com.