Cómo proteger nuestros datos, edificios y empleados
Una de nuestras responsabilidades fundamentales es mantener seguros a los empleados, los activos, la información y los datos de los clientes de Paychex. Así es cómo cumplimos con nuestra promesa de hacer negocios de la manera correcta.
Seguridad cibernética
A través del Programa de Protección de la Información de Paychex, aplicamos las mejores prácticas en seguridad de la información, tecnología comprobada, y políticas y procedimientos efectivos, y mantenemos un programa integral para monitorear y proteger la información del acceso no autorizado o de la destrucción. El Programa de Seguridad Empresarial de Paychex está alineado con la versión 1.1 del Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés). Este Marco se basa en la publicación especial 800-53 del NIST, revisión 4: Controles de seguridad y privacidad para todos los sistemas de información y las organizaciones federales.
Nuestra política y nuestros estándares de seguridad, que han sido ratificados y aplicados por la gerencia ejecutiva, se basan en las cinco funciones del Marco del NIST.
Haga clic aquí para consultar el Informe técnico de seguridad de Paychex.
Declaración de seguridad
Paychex tiene el compromiso de proteger la seguridad e integridad de la información de los clientes a través de procedimientos y tecnologías diseñados para este propósito. Específicamente, nosotros hacemos lo siguiente:
- Mantenemos políticas y procedimientos que cubren la seguridad física de nuestros lugares de trabajo, sistemas y registros.
- Aplicamos medidas de seguridad física, electrónica y procedimental integradas en nuestras buenas prácticas reconocidas por la industria.
- Usamos tecnología como copias de seguridad, detección y prevención de virus, firewalls y demás hardware y software informático para proteger contra el acceso no autorizado o la alteración de los datos del cliente.
- Ciframos la información confidencial que se transmite a través de Internet.
- Usamos controles de acceso y auditorías internas para limitar el acceso de los empleados a la información de los clientes a fin de que solo la conozcan quienes tienen una razón comercial para hacerlo.
- Exigimos que los empleados realicen una capacitación de concientización sobre la seguridad de la información cuando se los contrata y anualmente, y que apliquen esta capacitación a su trabajo diario.
- Usamos tecnologías avanzadas para la copia de seguridad y la recuperación de la información del cliente.
- Supervisamos el cumplimiento de las políticas establecidas mediante auditorías internas y evaluaciones continuas de los riesgos de seguridad.
Seguridad de los servicios al cliente
Las políticas y los procedimientos de seguridad para los servicios y las aplicaciones de Paychex orientados al cliente están diseñados específicamente para proteger la información confidencial en las comunicaciones y transacciones electrónicas de los clientes. Paychex respalda su compromiso de mantener los datos de los clientes protegidos a través de las siguientes mejores prácticas y tecnologías:
- Tecnologías multicapa de firewall.
- Monitoreo en tiempo real de actividad sospechosa o inusual.
- Transmisión segura de comunicaciones mediante cifrado de seguridad de capa de transporte (TLS, por sus siglas en inglés).
- Controles de acceso exhaustivos.
- Procedimientos y procesos de gestión de parches lógicos.
- Evaluaciones periódicas de vulnerabilidad.
- Opciones de autenticación multifactor para ciertos servicios orientados al cliente.
Comunicaciones seguras por correo electrónico
Un componente importante para proteger la privacidad y seguridad de la información de clientes, empresas y empleados es el Centro de Mensajes por Correo Electrónico Seguro de Paychex. Este Centro, que es un entorno de correo electrónico protegido y diseñado para mantener segura la información sensible y confidencial, proporciona un medio para que Paychex envíe notificaciones a las cuentas de correo electrónico regulares con enlaces a nuestro servidor de correo electrónico seguro, en que los destinatarios pueden registrarse y acceder a los correos electrónicos confidenciales.
Seguridad de la red
Paychex utiliza múltiples enfoques para probar la seguridad de nuestras redes, incluidos estos:
Análisis de vulnerabilidades
Se realizan análisis de referencia continuos de vulnerabilidad y configuración de la red, así como análisis de código fuente. Los resultados se comparten con los equipos de TI correspondientes de Paychex para identificar la mejor estrategia de mitigación.
Pruebas de penetración
Se realizan pruebas continuas de penetración interna y externa con respecto a nuestra infraestructura y nuestras aplicaciones. Después de que la gerencia revise estos informes, se realiza la corrección de ser necesario.
Recompensa por detección de errores
Ciertas aplicaciones de Paychex son parte de un programa privado de recompensas por detección de errores solo con invitación que premia a los investigadores de seguridad por identificar vulnerabilidades complejas y críticas dentro de nuestras aplicaciones web.
Capacitación de concientización sobre la seguridad de los empleados
Además de la capacitación anual de concientización sobre la seguridad que se brinda en toda la empresa a través de nuestra formación "La manera correcta", nuestros empleados participan en simulaciones de rutina de suplantación de identidad diseñadas para evaluar y educar a nuestros empleados sobre cómo reconocer y denunciar correos electrónicos de suplantación de identidad. Además, proporcionamos formación continua a nuestros equipos de desarrollo de software, en que se los instruye en el desarrollo de código seguro y se les proporciona información actualizada sobre diferentes técnicas de ataque. Por último, pero no menos importante, brindamos alertas de seguridad y formaciones a nuestros empleados a través de nuestras redes internas de comunicación de empleados para mantenerlos actualizados sobre las mejores prácticas de higiene de seguridad y avisos que puedan afectarlos. Esto incluye comunicaciones semanales durante octubre mientras aprovechamos el Mes Nacional de Concientización sobre la Seguridad Cibernética para reforzar los conceptos y las prácticas de seguridad.
Conservación y destrucción de información impresa y electrónica
El Programa de Administración de Registros (RMP, por sus siglas en inglés) de Paychex proporciona una administración efectiva de los registros comerciales de la empresa. El RMP brinda una administración eficaz del ciclo de vida de todos los registros de Paychex desde que se genera o recibe hasta su disposición final. La adherencia al RMP asegura que Paychex:
- Cumple con las regulaciones gubernamentales y los requisitos legales mediante el uso de opciones de autenticación multifactor para determinados servicios orientados al cliente.
- Protege los registros necesarios para las operaciones de Paychex.
- Reduce el costo de mantener y almacenar registros.
- Apoya buenas prácticas comerciales.
Privacidad del cliente
La seguridad y protección de información personal y de cuentas son, definitivamente, nuestra prioridad. Tomamos precauciones razonables para proteger los datos proporcionados por nuestros clientes y sus empleados contra pérdida, uso indebido, acceso no autorizado, divulgación, alteración y destrucción prematura. No otorgamos acceso a la información personal, salvo lo establecido en nuestra Política de privacidad y en el Acuerdo de servicios al cliente.
Paychex ayuda a proteger contra el acceso no autorizado y la alteración de los datos de los clientes mediante el uso de detección y prevención de malware, firewalls y otras tecnologías estándar de la industria. Paychex cifra la información confidencial transmitida en línea y utiliza tecnologías avanzadas para la recuperación y respaldo de la información. Tomamos las precauciones razonables para proteger sus datos contra pérdida, uso indebido, acceso no autorizado, divulgación, alteración y destrucción inoportuna. No otorgamos acceso a la información personal de los clientes, salvo lo establecido en nuestra Política de privacidad y en el Acuerdo de servicios al cliente.
Paychex cuenta con procesos para cumplir con los requisitos locales, estatales y federales con respecto a la seguridad de los datos de los clientes. Estos procesos incluyen procedimientos de seguridad exhaustivos que se revisan periódicamente y se modifican en función de los cambios normativos.
Paychex aborda la privacidad del cliente en nuestra Política de privacidad, nuestro Código de ética y conducta comercial y nuestro Acuerdo de servicios al cliente.
Paychex se compromete a cumplir con todas las regulaciones de privacidad locales, estatales y federales relacionadas con los datos de los clientes.
El entorno normativo relacionado con la privacidad está en constante cambio con nuevas regulaciones que se implementan periódicamente a nivel local, estatal y federal. Nuestro objetivo es estar al día y cumplir con todos los cambios asociados.
Es nuestra responsabilidad comprender las leyes y normativas aplicables relacionadas con la privacidad del cliente y cumplir con ellas. Paychex ha establecido políticas y procedimientos para cumplir de manera oportuna con los requisitos legales, tanto federales como estatales, aplicables en cuanto a la privacidad, la seguridad de los datos y la notificación de incidentes.
Proporcionamos información de contacto para reportar cualquier caso en el que un cliente crea que una parte no autorizada ha accedido a su cuenta o información.
Paychex anima a los investigadores a compartir con nuestro equipo los detalles de cualquier sospecha de información de vulnerabilidad a través de un formulario en línea administrado por un tercero.
Continuidad comercial y recuperación ante desastres
Paychex adoptó una estrategia de continuidad comercial diseñada para ayudar a garantizar la continuidad de las funciones críticas de la empresa en caso de una interrupción significativa del negocio en cualquiera de nuestras sucursales u oficinas corporativas, incluidas fallas técnicas que afectan nuestras aplicaciones, nuestros centros de datos, nuestras redes y los edificios que ocupamos. El plan de continuidad comercial de Paychex también incluye medidas diseñadas para hacer frente a condiciones meteorológicas adversas, catástrofes locales y regionales, y acontecimientos que afecten al personal, como las pandemias. Las estrategias de recuperación documentadas y probadas están diseñadas para mitigar el impacto en nuestros clientes ante cualquier interrupción comercial.
Riesgos graves
Los eventos individuales, que incluyen el clima extremo, pueden afectar la disponibilidad de los servicios al cliente de Paychex y podrían generar un impacto financiero para los clientes, plazos que no se pueden respetar que conllevan sanciones y posibles impactos financieros para Paychex y la reputación general de la marca Paychex. Los factores de riesgo físico grave se evalúan por unidades de negocio, bienes raíces y TI, y se priorizan en lo que respecta a la continuidad comercial, la recuperación ante desastres y la planificación de la reanudación comercial. La amenaza de eventos individuales para las operaciones del centro de datos es mínima, ya que Paychex tiene una redundancia del 200 % para proteger las aplicaciones orientadas al cliente en todos los centros de procesamiento de Paychex. La amenaza para las sucursales de los servicios de Paychex podría ser más importante; sin embargo, la redundancia en todas las ubicaciones de los servicios debe generar un impacto mínimo para los clientes. Los ejemplos incluyen, de manera enunciativa y no limitativa, el clima invernal severo, los huracanes, los tornados, los incendios forestales, las inundaciones y los cortes de energía.
Riesgos crónicos
Los eventos sostenidos asociados con el cambio climático podrían causar interrupciones a largo plazo que provocaran a un impacto financiero para los clientes, los ingresos de Paychex y la reputación general de la marca, ya que algunos de nuestros centros de datos y ubicaciones de servicio pueden ser susceptibles a un mayor consumo de energía, accesibilidad para el personal y proveedores críticos para nuestros centros logísticos. Las ubicaciones redundantes que protegen contra eventos individuales (graves) también pueden verse afectadas por eventos sostenidos y requerir soluciones alternativas. Los ejemplos incluyen, entre otros, el aumento de las temperaturas, los cortes eléctricos y el aumento del nivel del mar.
Gestión de los riesgos de las interrupciones del servicio
Paychex asiste a, aproximadamente, 740 000 clientes que utilizan múltiples servicios y productos de Paychex. Si bien es poco frecuente, hubo ocasiones en las que experimentamos interrupciones o tiempo de inactividad limitados y no planificados. Cuando ocurren estos eventos, trabajamos rápidamente para restaurar el servicio y minimizar el impacto en el cliente. Además, hacemos copias de seguridad de los datos de los clientes en los centros de datos distribuidos en los Estados Unidos y, si hay interrupciones o cortes regionales, se puede acceder a los datos de los clientes desde ubicaciones no afectadas.
Seguridad física
En 2019, Paychex lanzó la Capacitación de preparación para amenazas activas a fin de ayudar a nuestros empleados a comprender lo que pueden hacer para prepararse y, si es necesario, minimizar el impacto en caso de que suceda lo impensable.
Nos asociamos con el Departamento de Policía del condado de Monroe en Rochester, Nueva York, para patrocinar un video de capacitación integral que incluye información, estadísticas y una recreación de una situación con un tirador activo. Fue filmado en locaciones de Paychex de Rochester y presenta a nuestros propios empleados y a la policía local, quienes se ofrecieron como voluntarios para ser actores principales y de reparto en la importante recreación.
Todos los nuevos empleados realizan esta importante capacitación, y la ofrecemos a los empleados existentes con materiales colaterales actualizados cada dos años con un repaso más conciso en los años alternos. La capacitación también está disponible en el sitio web del Departamento de Policía del condado de Monroe de forma gratuita para otras empresas e individuos a fin de ayudar a tantas personas como sea posible a prepararse para tomar las medidas adecuadas a fin de minimizar los fallecimientos.
Medidas de seguridad adicionales
Identificación con foto del empleado
Se requiere que las identificaciones con foto de los empleados sean visibles en todo momento cuando se encuentren en las instalaciones de Paychex.
Acceso a los edificios
Información general sobre la seguridad física del sitio/edificio: El acceso físico a todos los edificios es restringido. El acceso físico a los centros de procesamiento de datos de la empresa se limita a los empleados con una necesidad comercial para acceder a dichos centros y está sujeto a niveles adicionales de seguridad. Los guardias de seguridad, la vigilancia por video, los llaveros, las llaves y otros medios controlan el acceso físico a otras áreas y edificios restringidos.
Administración de los visitantes
Acceso de los visitantes: Todas las personas que visiten cualquier ubicación de Paychex deben tener una justificación comercial para hacerlo, deben registrarse, y se les otorgará un distintivo de visitante numerado. Además, no pueden ingresar a ninguna zona del edificio sin la compañía de un empleado autorizado.
Capacitación sobre seguridad y controles internos
La capacitación anual sobre controles internos y seguridad ofrece un aprendizaje digital basado en escenarios que le da el control al alumno para que identifique y solucione casos realistas que se personalizan según las ventas o la falta de ventas y los puestos de gerente o colaborador individual. Todos los empleados completan la capacitación, incluidos aquellos empleados a tiempo completo, a tiempo parcial y por contrato. A lo largo del programa de capacitación, el alumno recibe detalles sobre las políticas de la empresa: tanto dentro del contenido de capacitación en sí como en un PDF descargable con enlaces al sitio donde se encuentran todas las políticas. Se le recomienda al alumno consultar los enlaces para obtener los detalles más actualizados sobre las políticas. La capacitación también describe los valores relevantes de Paychex.
Los alumnos profundizan sobre los problemas de seguridad de los datos, lo que incluye identificar y notificar los incidentes de seguridad, así como los peligros de los correos electrónicos de suplantación de identidad y el compromiso de correo electrónico empresarial (BEC, por sus siglas en inglés). También hay módulos de seguridad especializados asignados a empleados con funciones específicas, como acceso de usuario privilegiado, manejo de PHI e, incluso, capacitación en seguridad a nivel ejecutivo que se asignan, además de los temas generales de seguridad que abordan las áreas de riesgo de seguridad para la empresa. Asimismo, los empleados reconocen la importancia de identificar la información protegida, incluido lo siguiente:
HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico)
- HITECH (Ley de Tecnología de la Información de la Salud para la Salud Económica y Clínica)
- PHI (información médica protegida)
- NACHA (Asociación Nacional de Cámaras de Compensación Automatizadas)
- PII (información de identificación personal)
- PCI (información sobre tarjetas de pago)
La capacitación requiere que los empleados reconozcan que han recibido, revisado y entendido el Código de ética y conducta comercial de Paychex, que incluye requisitos sobre el manejo de la información confidencial y los activos de la empresa.
En la capacitación, se hace referencia al contenido de las siguientes políticas:
- Declaración de seguridad pública
- Cuentas de usuarios designados personales
- Cuentas de usuarios designados personales: contraseñas