IPS . finance

Seguridad y privacidad

Protegiendo la información que nuestros clientes y socios nos confían.

IPS maneja información financiera y personal sensible en cada transacción que la plataforma sustenta. Nuestro marco de seguridad y programa de privacidad están construidos a los estándares apropiados para un operador regulado de pagos: cumplimiento con la LGPD para protección de datos, alineamiento con PCI DSS para datos de tarjetahabiente, manejo cifrado de datos en tránsito y en reposo, segregación de funciones entre áreas operativas y monitoreo continuo del estado de seguridad de la plataforma.

Cómo manejamos los datos personales.

La Lei Geral de Proteção de Dados (LGPD) rige el tratamiento de datos personales en Brasil. El programa de privacidad de IPS está construido para cumplir con la LGPD en todas las operaciones orientadas al cliente. El programa opera sobre los principios que la LGPD establece: base legal para el tratamiento, limitación de propósito, minimización de datos, exactitud, retención limitada a propósitos legítimos, seguridad y rendición de cuentas. Un Encargado de Protección de Datos está designado y accesible mediante el canal de contacto del DPO. El DPO recibe y responde a solicitudes de los titulares — acceso, corrección, eliminación, portabilidad, oposición, revisión de decisión automatizada — dentro de los plazos legales establecidos por la LGPD. El DPO también sirve como punto de contacto de la empresa con la ANPD (Autoridade Nacional de Proteção de Dados) para cualquier asunto que requiera engagement regulatorio. Los datos de cliente se usan solo para los propósitos para los cuales fueron recolectados. Los datos personales recolectados para KYC se usan para fines de KYC y AML. Los datos personales recolectados para procesamiento de transacciones se usan para procesamiento de transacciones y los requisitos relacionados de cumplimiento y auditoría. Los datos personales no se venden, no se proporcionan a terceros para fines de marketing y no se usan para propósitos más allá de los descritos en la política de privacidad. Contacto del DPO: dpo@ips.finance

Cómo protegemos datos y operaciones.

El marco de seguridad de IPS sigue las prácticas apropiadas para un operador regulado de pagos. Los controles operativos específicos incluyen cifrado de datos en tránsito y en reposo usando algoritmos criptográficos estándar de la industria; segregación de funciones entre las áreas de ingeniería, operaciones y cumplimiento; controles de acceso basados en el principio del menor privilegio; monitoreo continuo del estado de la plataforma y de eventos de seguridad; y procedimientos de respuesta a incidentes alineados con los requisitos regulatorios y contractuales. Detalles operativos específicos — patrones de segmentación de red, procedimientos de gestión de claves, configuraciones de proveedores de identidad, las herramientas específicas de seguridad utilizadas — no se exponen en documentación pública. Exponer estos detalles ayudaría a malos actores. Bancos socios, auditores y reguladores con necesidad legítima de conocer estos detalles los reciben bajo acuerdos apropiados de intercambio de información.

Datos de tarjetahabiente manejados a estándares PCI DSS.

Donde las operaciones de IPS involucran datos de tarjeta — incluyendo flujos de entrada fondeados por tarjeta de clientes extranjeros — el manejo cumple con el Payment Card Industry Data Security Standard (PCI DSS). Las funciones de datos de tarjeta se externalizan a proveedores validados por PCI DSS, e IPS no almacena, procesa ni transmite datos de tarjetahabiente en sus propios sistemas. La clasificación específica PCI DSS se detalla en la página de Atestaciones. El documento de atestación en sí no es públicamente descargable. La atestación puede proporcionarse a adquirentes, marcas de tarjeta y comerciantes bajo acuerdos apropiados de intercambio de información.

Datos cifrados en tránsito y en reposo.

Todos los datos transmitidos entre sistemas de IPS, entre IPS y bancos socios, y entre IPS y clientes se cifran usando cifrado de transporte estándar de la industria. Todos los datos almacenados dentro de los sistemas de IPS se cifran en reposo usando cifrado simétrico estándar de la industria. Las claves criptográficas se gestionan mediante controles apropiados a la sensibilidad de los datos subyacentes y al marco regulatorio aplicable. Los datos personales y los datos financieros se almacenan en sistemas lógicos separados con controles de acceso apropiados. Los flujos de datos entre sistemas ocurren mediante APIs auditadas en lugar de acceso directo a base de datos. La pista de auditoría de acceso a datos sustenta el principio de rendición de cuentas de la LGPD y los requisitos más amplios de auditoría que aplican a las operaciones financieras reguladas.

Atestaciones actuales que sustentan nuestra postura.

Las atestaciones y certificaciones actuales que IPS posee están listadas en la página de Atestaciones. La lista de atestaciones se actualiza a medida que nuevas certificaciones son obtenidas o las existentes renovadas.