Acreditación de seguridad

  • Informes SOC

    Informes SOC

    AICPA SOC

    Paychex mantiene informes SOC 1 Tipo 2 y SOC 2 Tipo 2 sobre diversos productos y servicios. Los clientes pueden solicitar copias de estos informes a través de su contacto de Ventas o Servicio de Paychex. Para obtener información adicional sobre los informes SOC y su estándar, visite el sitio web de Auditoría y Garantía de AICPA.

  • Certificación ISO 27001

    Certificación ISO 27001

    Número de certificado IS 801702

    certificado en gestión de seguridad de la información por BSI

Seguridad de la información

  • Proteger la privacidad y la información personal de nuestros clientes

    Proteger la privacidad y la información personal de nuestros clientes

    En Paychex, proteger la privacidad y la información personal de nuestros clientes y empleados es una prioridad. Seguimos protocolos de seguridad robustos diseñados para proteger tanto los datos personales como los relacionados con la cuenta.

    Nuestro Sistema de gestión de seguridad de la información de Paychex utiliza marcos reconocidos, incluidos el Marco de Ciberseguridad del NIST (CSF, por sus siglas en inglés) e ISO/IEC 27001. Estos estándares guían nuestros esfuerzos para mantener la confidencialidad, integridad y disponibilidad de nuestros datos y activos relacionados.

    Para gestionar proactivamente el riesgo de ciberseguridad, implementamos una estrategia de evaluación multifacética que incluye evaluaciones técnicas de riesgos y escaneo de vulnerabilidades, pruebas de penetración y programas de recompensas por errores. Este enfoque nos permite identificar, evaluar y mitigar continuamente las amenazas potenciales dentro de nuestro entorno. Además, nuestra función Respuesta a incidentes de seguridad opera las 24 horas del día, los 7 días de la semana, los 365 días del año para recopilar y analizar posibles violaciones de seguridad o actividad inusual.

    También adoptamos un enfoque riguroso para la gestión de riesgos de terceros. Todos los proveedores están sujetos a acuerdos de confidencialidad, evaluaciones formales de riesgos de seguridad de sus prácticas de protección de la información y términos contractuales que definen las expectativas para la protección continua de datos.

    Haga clic aquí para revisar nuestro White paper de seguridad de Paychex.

Pruebas y validación

  • Análisis de vulnerabilidades

    Análisis de vulnerabilidades

    Se realizan análisis de referencia continuos de vulnerabilidad y configuración de la red, así como análisis de código fuente. Los resultados se comparten con los equipos de TI correspondientes de Paychex para identificar la mejor estrategia de mitigación.

  • Pruebas de penetración

    Pruebas de penetración

    Se realizan pruebas continuas de penetración interna y externa con respecto a nuestra infraestructura y nuestras aplicaciones. Después de que la gerencia revise estos informes, se realiza la corrección de ser necesario.

Capacitación sobre seguridad y controles internos

  • Capacitación sobre seguridad y controles internos

    Capacitación sobre seguridad y controles internos

    La capacitación anual sobre controles internos y seguridad ofrece un aprendizaje digital basado en escenarios que le da el control al alumno para que identifique y solucione casos realistas que se personalizan según las ventas o la falta de ventas y los puestos de gerente o colaborador individual. Todos los empleados completan la capacitación, incluidos aquellos empleados a tiempo completo, a tiempo parcial y por contrato. A lo largo del programa de capacitación, el alumno recibe detalles sobre las políticas de la empresa: tanto dentro del contenido de capacitación en sí como en un PDF descargable con enlaces al sitio donde se encuentran todas las políticas. Se le recomienda al alumno consultar los enlaces para obtener los detalles más actualizados sobre las políticas. La capacitación también describe los valores relevantes de Paychex.

    Los alumnos profundizan sobre los problemas de seguridad de los datos, lo que incluye identificar y notificar los incidentes de seguridad, así como los peligros de los correos electrónicos de suplantación de identidad y el compromiso de correo electrónico empresarial (BEC, por sus siglas en inglés). También hay módulos de seguridad especializados asignados a empleados con funciones específicas, como acceso de usuario privilegiado, manejo de PHI e, incluso, capacitación en seguridad a nivel ejecutivo que se asignan, además de los temas generales de seguridad que abordan las áreas de riesgo de seguridad para la empresa. Asimismo, los empleados reconocen la importancia de identificar la información protegida, incluido lo siguiente:

    • HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico)
    • PHI (información médica protegida)
    • NACHA (Asociación Nacional de Cámaras de Compensación Automatizadas)
    • PII (información de identificación personal)
    • PCI (información sobre tarjetas de pago)

    La capacitación requiere que los empleados reconozcan que han recibido, revisado y están siguiendo las políticas de Paychex, que incluyen requisitos sobre el manejo de información confidencial y activos de la empresa.

  • Capacitación de concientización sobre la seguridad de los empleados

    Capacitación de concientización sobre la seguridad de los empleados

    Además de la capacitación anual de concientización sobre la seguridad que se brinda en toda la empresa a través de nuestra formación "La manera correcta", nuestros empleados participan en simulaciones de rutina de suplantación de identidad diseñadas para evaluar y educar a nuestros empleados sobre cómo reconocer y denunciar correos electrónicos de suplantación de identidad.

    Además, proporcionamos formación continua a nuestros equipos de desarrollo de software, en que se los instruye en el desarrollo de código seguro y se les proporciona información actualizada sobre diferentes técnicas de ataque.

    A lo largo del año, brindamos alertas de seguridad y formaciones a nuestros empleados a través de nuestras redes internas de comunicación de empleados para mantenerlos actualizados sobre las últimas prácticas de higiene de seguridad y avisos que puedan afectarlos. Esto incluye comunicaciones durante octubre mientras aprovechamos el Mes Nacional de Concientización sobre la Seguridad Cibernética para reforzar los conceptos y las prácticas de seguridad.

Planificación de la continuidad del negocio

  • Continuidad comercial y recuperación ante desastres

    Continuidad comercial y recuperación ante desastres

    Paychex adoptó una estrategia de continuidad comercial diseñada para ayudar a garantizar la continuidad de las funciones críticas de la empresa en caso de una interrupción significativa del negocio en cualquiera de nuestras sucursales u oficinas corporativas, incluidas fallas técnicas que afectan nuestras aplicaciones, nuestros centros de datos, nuestras redes y los edificios que ocupamos. El plan de continuidad comercial de Paychex también incluye medidas diseñadas para hacer frente a condiciones meteorológicas adversas, catástrofes locales y regionales, y acontecimientos que afecten al personal, como las pandemias. Las estrategias de recuperación documentadas y probadas están diseñadas para mitigar el impacto en nuestros clientes ante cualquier interrupción comercial.

  • Riesgos graves

    Riesgos graves

    Los eventos individuales, que incluyen el clima extremo, pueden afectar la disponibilidad de los servicios al cliente de Paychex y podrían generar un impacto financiero para los clientes, plazos que no se pueden respetar que conllevan sanciones y posibles impactos financieros para Paychex y la reputación general de la marca Paychex. Los factores de riesgo físico grave se evalúan por unidades de negocio, bienes raíces y TI, y se priorizan en lo que respecta a la continuidad comercial, la recuperación ante desastres y la planificación de la reanudación comercial. La amenaza de eventos individuales para las operaciones del centro de datos es mínima, ya que Paychex tiene una redundancia del 200 % para proteger las aplicaciones orientadas al cliente en todos los centros de procesamiento de Paychex. La amenaza para las sucursales de los servicios de Paychex podría ser más importante; sin embargo, la redundancia en todas las ubicaciones de los servicios debe generar un impacto mínimo para los clientes. Los ejemplos incluyen, de manera enunciativa y no limitativa, el clima invernal severo, los huracanes, los tornados, los incendios forestales, las inundaciones y los cortes de energía.

  • Riesgos crónicos

    Riesgos crónicos

    Los eventos sostenidos asociados con el cambio climático podrían causar interrupciones a largo plazo que provocaran a un impacto financiero para los clientes, los ingresos de Paychex y la reputación general de la marca, ya que algunos de nuestros centros de datos y ubicaciones de servicio pueden ser susceptibles a un mayor consumo de energía, accesibilidad para el personal y proveedores críticos para nuestros centros logísticos. Las ubicaciones redundantes que protegen contra eventos individuales (graves) también pueden verse afectadas por eventos sostenidos y requerir soluciones alternativas. Los ejemplos incluyen, entre otros, el aumento de las temperaturas, los cortes eléctricos y el aumento del nivel del mar.

  • Gestión de los riesgos de las interrupciones del servicio

    Gestión de los riesgos de las interrupciones del servicio

    Paychex asiste a, aproximadamente, 740 000 clientes que utilizan múltiples servicios y productos de Paychex. Si bien es poco frecuente, hubo ocasiones en las que experimentamos interrupciones o tiempo de inactividad limitados y no planificados. Cuando ocurren estos eventos, trabajamos rápidamente para restaurar el servicio y minimizar el impacto en el cliente. Además, hacemos copias de seguridad de los datos de los clientes en los centros de datos distribuidos en los Estados Unidos y, si hay interrupciones o cortes regionales, se puede acceder a los datos de los clientes desde ubicaciones no afectadas.

Seguridad física

  • Seguridad física

    Seguridad física

    En 2019, Paychex lanzó la Capacitación de preparación para amenazas activas a fin de ayudar a nuestros empleados a comprender lo que pueden hacer para prepararse y minimizar el impacto en caso de que suceda lo impensable.

    Nos asociamos con el Departamento de Policía del condado de Monroe en Rochester, Nueva York, para patrocinar un video de capacitación integral que incluye información, estadísticas y una recreación de una situación con un tirador activo. Fue filmado en locaciones de Paychex de Rochester y presenta a nuestros propios empleados y a la policía local, quienes se ofrecieron como voluntarios para ser actores principales y de reparto en la importante recreación.

    Todos los empleados nuevos reciben esta importante capacitación. Los empleados existentes obtienen una formación de repaso anualmente para reforzar los conceptos y principios aprendidos en su capacitación inicial sobre amenazas activas. Paychex y el Departamento de Policía del condado de Monroe han puesto esta capacitación a disposición de empresas e individuos a través del sitio web del Departamento de Policía del condado de Monroe. El objetivo es preparar a las personas para tomar las medidas adecuadas y minimizar la pérdida de vidas.

  • Medidas de seguridad adicionales

    Medidas de seguridad adicionales

    • Identificación con foto del empleado: Los empleados deben llevar visible en todo momento su identificación con foto mientras se encuentren en las instalaciones de Paychex.

    • Acceso a los edificios: el acceso físico a todos los edificios y centros de datos está restringido a los empleados y a aquellos con una necesidad empresarial justificada. Todos los accesos se supervisan a través de un sistema de control de acceso, videovigilancia y, en algunas ubicaciones, guardias de seguridad. Todos los centros de datos cuentan con sistemas y protocolos de seguridad mejorados.

    • Gestión de visitantes: todas las personas que visiten cualquier sucursal de Paychex deben tener una justificación comercial para hacerlo, tienen que registrarse, y se les otorgará un distintivo de visitante numerado. Los visitantes deben estar acompañados en todo momento por un empleado de Paychex.

Recursos del cliente

Su parte: mantenga su información segura

Sepa qué buscar y qué hacer en lo que respecta a la seguridad de su información, sus empleados y su empresa.

Reportar un problema de seguridad

Si cree que alguien ha accedido a su cuenta o a su información sin autorización, contáctenos inmediatamente.

Una vez que sospeche de actividad potencialmente fraudulenta, deberá tomar medidas para salvaguardar su información personal y de su cuenta. Revise qué medidas puede tomar para abordar ejemplos específicos y conozca algunas buenas prácticas para manejar la información de su cuenta.

Paquete de Paychex

Ejemplo: Hubo un problema con la entrega de mi paquete de Paychex.

Siguientes pasos:

Comuníquese con la sucursal local de Paychex.
La asistencia de nómina está disponible las 24 horas del día, los 7 días de la semana, todo el año.

Aprenda cómo puede proteger su información.

Cuentas en línea

Ejemplo: Soy empleado de un cliente de Paychex y necesito asistencia técnica

Siguientes pasos:

Inicie sesión en www.paychexflex.com y haga clic en el signo ?, en la parte inferior derecha de la página para obtener ayuda a través del chat.

Comunicaciones

Ejemplo: Recibí una llamada telefónica sospechosa, un mensaje de texto, un correo electrónico o una carta de alguien que decía ser de Paychex.

Siguientes pasos:

Comuníquese con la sucursal local de Paychex.
La asistencia de nómina está disponible las 24 horas del día, los 7 días de la semana, todo el año.

Virus informáticos

Ejemplo: Hice clic en un enlace de un correo electrónico sospechoso. Revelé mi información de cuenta en línea. Mi software antivirus me notificó que tenía un virus.

Siguientes pasos:

Pida a un profesional de informática en su empresa que revise su computadora.

Si cree que el virus afecta a su cuenta Paychex, comuníquese con la sucursal Paychex de su localidad.La asistencia de nómina está disponible las 24 horas del día, los 7 días de la semana, todo el año.

Aprenda cómo ayudar a reducir los riesgos futuros que puedan afectar su información en línea.