Proteger los datos de nuestros clientes, empleados y socios
Una de nuestras responsabilidades fundamentales es mantener seguros a los empleados, los activos, la información y los datos de los clientes de Paychex. Así es cómo cumplimos con nuestra promesa de hacer negocios de la manera correcta.
Seguridad de la red
Paychex utiliza múltiples enfoques para probar la seguridad de nuestras redes, incluidos estos:
Análisis de vulnerabilidades
Se realizan análisis de referencia continuos de vulnerabilidad y configuración de la red, así como análisis de código fuente. Los resultados se comparten con los equipos de TI correspondientes de Paychex para identificar la mejor estrategia de mitigación.
Pruebas de penetración
Se realizan pruebas continuas de penetración interna y externa con respecto a nuestra infraestructura y nuestras aplicaciones. Después de que la gerencia revise estos informes, se realiza la corrección de ser necesario.
Recompensa por detección de errores
Ciertas aplicaciones de Paychex son parte de un programa privado de recompensas por detección de errores solo con invitación que premia a los investigadores de seguridad por identificar vulnerabilidades complejas y críticas dentro de nuestras aplicaciones web.
Seguridad cibernética
A través del Programa de Protección de la Información de Paychex, aplicamos las mejores prácticas en seguridad de la información, tecnología comprobada, y políticas y procedimientos efectivos, y mantenemos un programa integral para monitorear y proteger la información del acceso no autorizado o de la destrucción. El Programa de Seguridad Empresarial de Paychex está alineado con la versión 2.0 del Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST). Este Marco se basa en la publicación especial 800-53 del NIST, revisión 5: Controles de seguridad y privacidad para todos los sistemas de información y las organizaciones federales.
Nuestra política y nuestros estándares de seguridad, que han sido ratificados y aplicados por la gerencia ejecutiva, se basan en las cinco funciones del Marco del NIST.
Haga clic aquí para consultar el Informe técnico de seguridad de Paychex.
Declaración de seguridad
Paychex se compromete a proteger la confidencialidad, integridad y disponibilidad de la información del cliente. Específicamente, nosotros hacemos lo siguiente:
- Mantenemos políticas y procedimientos que cubren la seguridad física de nuestros lugares de trabajo, sistemas y registros.
- Aplicamos medidas de seguridad física, electrónica y procedimental integradas en nuestras buenas prácticas reconocidas por la industria.
- Usamos tecnología como copias de seguridad, detección y prevención de virus, firewalls y demás hardware y software informático para proteger contra el acceso no autorizado o la alteración de los datos del cliente.
- Ciframos la información confidencial que se transmite a través de Internet.
- Usamos controles de acceso y auditorías internas para limitar el acceso de los empleados a la información de los clientes a fin de que solo la conozcan quienes tienen una razón comercial para hacerlo.
- Exigimos que los empleados realicen una capacitación de concientización sobre la seguridad de la información cuando se los contrata y anualmente, y que apliquen esta capacitación a su trabajo diario.
- Usamos tecnologías avanzadas para la copia de seguridad y la recuperación de la información del cliente.
- Supervisamos el cumplimiento de las políticas establecidas mediante auditorías internas y evaluaciones continuas de los riesgos de seguridad.
- Hacemos pruebas periódicas de penetración y análisis de vulnerabilidades en toda la infraestructura y la red para identificar y reducir el riesgo.
- Evaluamos y gestionamos el riesgo asociado con las relaciones con terceros que incluyen acuerdos de confidencialidad, una evaluación de riesgos de seguridad del programa de seguridad de información de terceros y un contrato escrito que estipula cómo se debe proteger la información.
Seguridad de los servicios al cliente
Las políticas y los procedimientos de seguridad para los servicios y las aplicaciones de Paychex orientados al cliente están diseñados específicamente para proteger la información confidencial en las comunicaciones y transacciones electrónicas de los clientes. Paychex respalda su compromiso de mantener los datos de los clientes protegidos a través de las siguientes mejores prácticas y tecnologías:
- Tecnologías multicapa de firewall.
- Monitoreo en tiempo real de actividad sospechosa o inusual.
- Transmisión segura de comunicaciones mediante cifrado de seguridad de capa de transporte (TLS, por sus siglas en inglés).
- Controles de acceso exhaustivos.
- Procedimientos y procesos de gestión de parches lógicos.
- Evaluaciones periódicas de vulnerabilidad.
- Requisitos de autenticación multifactor para servicios orientados al cliente
Soporte de seguridad las 24 horas del día, los 7 días de la semana, todo el año
Nuestro Centro de fusión de seguridad tiene una función de respuesta a incidentes de seguridad disponible las 24 horas del día, los 7 días de la semana, todo el año para recopilar y analizar la información sobre posibles violaciones de seguridad del sistema y actividades anómalas. El equipo del Centro de fusión trabaja en estrecha colaboración con equipos de recursos humanos, asesoramiento corporativo, auditoría interna, gestión de riesgos, autoridades externas y otros grupos para registrar, informar y mitigar incidentes relacionados con la informática.
Conservación y destrucción de información impresa y electrónica
El Programa de Administración de Registros (RMP) de Paychex es un programa organizado para proporcionar una administración efectiva de los registros comerciales de la empresa. El RMP brinda una administración eficaz del ciclo de vida de todos los registros de Paychex desde que se generan o reciben hasta su disposición final. La adherencia a las políticas del RMP asegura que Paychex:
(i) cumple con las regulaciones gubernamentales y los requisitos legales,
(ii) protege los registros necesarios para las operaciones de Paychex,
(iii) reduce el costo de mantener y almacenar registros, y
(iv) apoya buenas prácticas comerciales.
Todos los servicios de disposición y destrucción de terceros están certificados por la Asociación Nacional sobre la Destrucción de Información (NAID, por sus siglas en inglés) y están bajo contrato para proteger los registros comerciales de la empresa antes de su destrucción.
Privacidad del cliente
La privacidad de nuestros clientes y la información que proporcionan son importante para nosotros. Tomamos precauciones razonables para proteger los datos proporcionados por nuestros clientes o posibles clientes y sus empleados (o en nombre de ellos) contra la pérdida, el uso indebido, el acceso no autorizado, la divulgación, la alteración y la destrucción prematura. Paychex detalla las políticas relacionadas con la recopilación, el uso y la retención de información personal en su Política de privacidad general, la Política de privacidad de California, el Código de ética y conducta empresarial y el Código de conducta de terceros.
Además, Paychex considera que las políticas y prácticas que ha instituido para abordar los riesgos y efectos de la recopilación, el mantenimiento y la difusión de información en formato identificable en un sistema de información electrónica son una responsabilidad fundamental.
Paychex mantiene informes de auditoría de los controles de organizaciones de servicios (SOC 1 y SOC 2) sobre varios productos y servicios. Estas auditorías se llevan a cabo anualmente y los clientes tienen la posibilidad de solicitar copias. No otorgamos acceso a la información personal, excepto lo establecido en nuestra Política de privacidad y en el Acuerdo de servicios al cliente.
Paychex ayuda a proteger contra el acceso no autorizado y la alteración de los datos de los clientes mediante el uso de detección y prevención de malware, firewalls y otras tecnologías estándar de la industria. Paychex cifra la información confidencial transmitida en línea y utiliza tecnologías avanzadas para la recuperación y respaldo de la información. Tomamos las precauciones razonables para proteger sus datos contra pérdida, uso indebido, acceso no autorizado, divulgación, alteración y destrucción inoportuna. No otorgamos acceso a la información personal de los clientes, salvo lo establecido en nuestra Política de privacidad y en el Acuerdo de servicios al cliente.
Paychex cuenta con procesos para cumplir con los requisitos locales, estatales y federales con respecto a la seguridad de los datos de los clientes. Estos procesos incluyen procedimientos de seguridad exhaustivos que se revisan periódicamente y se modifican en función de los cambios normativos.
Paychex aborda la privacidad del cliente en nuestra Política de privacidad, nuestro Código de ética y conducta comercial y nuestro Acuerdo de servicios al cliente.
Paychex se compromete a cumplir con todas las regulaciones de privacidad locales, estatales y federales relacionadas con los datos de los clientes.
El entorno normativo relacionado con la privacidad está en constante cambio con nuevas regulaciones que se implementan periódicamente a nivel local, estatal y federal. Nuestro objetivo es estar al día y cumplir con todos los cambios asociados.
Es nuestra responsabilidad comprender las leyes y normativas aplicables relacionadas con la privacidad del cliente y cumplir con ellas. Paychex ha establecido políticas y procedimientos para cumplir de manera oportuna con los requisitos legales, tanto federales como estatales, aplicables en cuanto a la privacidad, la seguridad de los datos y la notificación de incidentes.
Proporcionamos información de contacto para reportar cualquier caso en el que un cliente crea que una parte no autorizada ha accedido a su cuenta o información.
Paychex anima a los investigadores a compartir con nuestro equipo los detalles de cualquier sospecha de información de vulnerabilidad a través de un formulario en línea administrado por un tercero.
Continuidad comercial y recuperación ante desastres
Paychex adoptó una estrategia de continuidad comercial diseñada para ayudar a garantizar la continuidad de las funciones críticas de la empresa en caso de una interrupción significativa del negocio en cualquiera de nuestras sucursales u oficinas corporativas, incluidas fallas técnicas que afectan nuestras aplicaciones, nuestros centros de datos, nuestras redes y los edificios que ocupamos. El plan de continuidad comercial de Paychex también incluye medidas diseñadas para hacer frente a condiciones meteorológicas adversas, catástrofes locales y regionales, y acontecimientos que afecten al personal, como las pandemias. Las estrategias de recuperación documentadas y probadas están diseñadas para mitigar el impacto en nuestros clientes ante cualquier interrupción comercial.
Riesgos graves
Los eventos individuales, que incluyen el clima extremo, pueden afectar la disponibilidad de los servicios al cliente de Paychex y podrían generar un impacto financiero para los clientes, plazos que no se pueden respetar que conllevan sanciones y posibles impactos financieros para Paychex y la reputación general de la marca Paychex. Los factores de riesgo físico grave se evalúan por unidades de negocio, bienes raíces y TI, y se priorizan en lo que respecta a la continuidad comercial, la recuperación ante desastres y la planificación de la reanudación comercial. La amenaza de eventos individuales para las operaciones del centro de datos es mínima, ya que Paychex tiene una redundancia del 200 % para proteger las aplicaciones orientadas al cliente en todos los centros de procesamiento de Paychex. La amenaza para las sucursales de los servicios de Paychex podría ser más importante; sin embargo, la redundancia en todas las ubicaciones de los servicios debe generar un impacto mínimo para los clientes. Los ejemplos incluyen, de manera enunciativa y no limitativa, el clima invernal severo, los huracanes, los tornados, los incendios forestales, las inundaciones y los cortes de energía.
Riesgos crónicos
Los eventos sostenidos asociados con el cambio climático podrían causar interrupciones a largo plazo que provocaran a un impacto financiero para los clientes, los ingresos de Paychex y la reputación general de la marca, ya que algunos de nuestros centros de datos y ubicaciones de servicio pueden ser susceptibles a un mayor consumo de energía, accesibilidad para el personal y proveedores críticos para nuestros centros logísticos. Las ubicaciones redundantes que protegen contra eventos individuales (graves) también pueden verse afectadas por eventos sostenidos y requerir soluciones alternativas. Los ejemplos incluyen, entre otros, el aumento de las temperaturas, los cortes eléctricos y el aumento del nivel del mar.
Gestión de los riesgos de las interrupciones del servicio
Paychex asiste a, aproximadamente, 740 000 clientes que utilizan múltiples servicios y productos de Paychex. Si bien es poco frecuente, hubo ocasiones en las que experimentamos interrupciones o tiempo de inactividad limitados y no planificados. Cuando ocurren estos eventos, trabajamos rápidamente para restaurar el servicio y minimizar el impacto en el cliente. Además, hacemos copias de seguridad de los datos de los clientes en los centros de datos distribuidos en los Estados Unidos y, si hay interrupciones o cortes regionales, se puede acceder a los datos de los clientes desde ubicaciones no afectadas.
Seguridad física
En 2019, Paychex lanzó la Capacitación de preparación para amenazas activas a fin de ayudar a nuestros empleados a comprender lo que pueden hacer para prepararse y minimizar el impacto en caso de que suceda lo impensable.
Nos asociamos con el Departamento de Policía del condado de Monroe en Rochester, Nueva York, para patrocinar un video de capacitación integral que incluye información, estadísticas y una recreación de una situación con un tirador activo. Fue filmado en locaciones de Paychex de Rochester y presenta a nuestros propios empleados y a la policía local, quienes se ofrecieron como voluntarios para ser actores principales y de reparto en la importante recreación.
Todos los empleados nuevos reciben esta importante capacitación. Los empleados existentes obtienen una formación de repaso anualmente para reforzar los conceptos y principios aprendidos en su capacitación inicial sobre amenazas activas. Paychex y el Departamento de Policía del condado de Monroe han puesto esta capacitación a disposición de empresas e individuos a través del sitio web del Departamento de Policía del condado de Monroe. El objetivo es preparar a las personas para tomar las medidas adecuadas y minimizar la pérdida de vidas.
Medidas de seguridad adicionales
Identificación con foto del empleado
Se requiere que los empleados usen identificaciones con foto y las tengan visibles en todo momento mientras se encuentren en las instalaciones de Paychex.
Acceso a los edificios
El acceso físico a todos los edificios y centros de datos está restringido a los empleados y a aquellos con una necesidad empresarial justificada. Todos los accesos se supervisan a través de un sistema de control de acceso, videovigilancia y, en algunas ubicaciones, guardias de seguridad. Todos los centros de datos cuentan con sistemas y protocolos de seguridad mejorados.
Administración de los visitantes
Todas las personas que visiten cualquier sucursal de Paychex deben tener una justificación comercial para hacerlo, tienen que registrarse, y se les otorgará un distintivo de visitante numerado. Los visitantes deben estar acompañados en todo momento por un empleado de Paychex.
Capacitación sobre seguridad y controles internos
La capacitación anual sobre controles internos y seguridad ofrece un aprendizaje digital basado en escenarios que le da el control al alumno para que identifique y solucione casos realistas que se personalizan según las ventas o la falta de ventas y los puestos de gerente o colaborador individual. Todos los empleados completan la capacitación, incluidos aquellos empleados a tiempo completo, a tiempo parcial y por contrato. A lo largo del programa de capacitación, el alumno recibe detalles sobre las políticas de la empresa: tanto dentro del contenido de capacitación en sí como en un PDF descargable con enlaces al sitio donde se encuentran todas las políticas. Se le recomienda al alumno consultar los enlaces para obtener los detalles más actualizados sobre las políticas. La capacitación también describe los valores relevantes de Paychex.
Los alumnos profundizan sobre los problemas de seguridad de los datos, lo que incluye identificar y notificar los incidentes de seguridad, así como los peligros de los correos electrónicos de suplantación de identidad y el compromiso de correo electrónico empresarial (BEC, por sus siglas en inglés). También hay módulos de seguridad especializados asignados a empleados con funciones específicas, como acceso de usuario privilegiado, manejo de PHI e, incluso, capacitación en seguridad a nivel ejecutivo que se asignan, además de los temas generales de seguridad que abordan las áreas de riesgo de seguridad para la empresa. Asimismo, los empleados reconocen la importancia de identificar la información protegida, incluido lo siguiente:
- HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico)
- HITECH (Ley de Tecnología de la Información de la Salud para la Salud Económica y Clínica)
- PHI (información médica protegida)
- NACHA (Asociación Nacional de Cámaras de Compensación Automatizadas)
- PII (información de identificación personal)
- PCI (información sobre tarjetas de pago)
La capacitación requiere que los empleados reconozcan que han recibido, revisado y entendido el Código de ética y conducta comercial de Paychex, que incluye requisitos sobre el manejo de la información confidencial y los activos de la empresa.
En la capacitación, se hace referencia al contenido de las siguientes políticas:
- Declaración de seguridad pública
- Cuentas de usuarios designados personales
- Cuentas de usuarios designados personales: contraseñas
Capacitación de concientización sobre la seguridad de los empleados
Además de la capacitación anual de concientización sobre la seguridad que se brinda en toda la empresa a través de nuestra formación "La manera correcta", nuestros empleados participan en simulaciones de rutina de suplantación de identidad diseñadas para evaluar y educar a nuestros empleados sobre cómo reconocer y denunciar correos electrónicos de suplantación de identidad. Además, proporcionamos formación continua a nuestros equipos de desarrollo de software, en que se los instruye en el desarrollo de código seguro y se les proporciona información actualizada sobre diferentes técnicas de ataque. Por último, pero no menos importante, brindamos alertas de seguridad y formaciones a nuestros empleados a través de nuestras redes internas de comunicación de empleados para mantenerlos actualizados sobre las mejores prácticas de higiene de seguridad y avisos que puedan afectarlos. Esto incluye comunicaciones semanales durante octubre mientras aprovechamos el Mes Nacional de Concientización sobre la Seguridad Cibernética para reforzar los conceptos y las prácticas de seguridad.
