Privacidad y seguridad
La seguridad de su información personal y de cuenta se mantiene protegida al adherirnos a los protocolos de seguridad mejor valorados, según lo detallan servicios externos de seguridad como Bitsight y Security Scorecard.
Desplácese hacia abajo
para obtener más información
Un compromiso de privacidad y seguridad
Acreditación de seguridad
-
Informes SOC
Informes SOC
Paychex mantiene informes SOC 1 Tipo 2 y SOC 2 Tipo 2 sobre diversos productos y servicios. Los clientes pueden solicitar copias de estos informes a través de su contacto de Ventas o Servicio de Paychex. Para obtener información adicional sobre los informes SOC y su estándar, visite el sitio web de Auditoría y Garantía de AICPA.
-
Certificación ISO 27001
Certificación ISO 27001
Número de certificado IS 801702
Seguridad de la información
-
Proteger la privacidad y la información personal de nuestros clientes
Proteger la privacidad y la información personal de nuestros clientes
En Paychex, proteger la privacidad y la información personal de nuestros clientes y empleados es una prioridad. Seguimos protocolos de seguridad robustos diseñados para proteger tanto los datos personales como los relacionados con la cuenta.
Nuestro Sistema de gestión de seguridad de la información de Paychex utiliza marcos reconocidos, incluidos el Marco de Ciberseguridad del NIST (CSF, por sus siglas en inglés) e ISO/IEC 27001. Estos estándares guían nuestros esfuerzos para mantener la confidencialidad, integridad y disponibilidad de nuestros datos y activos relacionados.
Para gestionar proactivamente el riesgo de ciberseguridad, implementamos una estrategia de evaluación multifacética que incluye evaluaciones técnicas de riesgos y escaneo de vulnerabilidades, pruebas de penetración y programas de recompensas por errores. Este enfoque nos permite identificar, evaluar y mitigar continuamente las amenazas potenciales dentro de nuestro entorno. Además, nuestra función Respuesta a incidentes de seguridad opera las 24 horas del día, los 7 días de la semana, los 365 días del año para recopilar y analizar posibles violaciones de seguridad o actividad inusual.
También adoptamos un enfoque riguroso para la gestión de riesgos de terceros. Todos los proveedores están sujetos a acuerdos de confidencialidad, evaluaciones formales de riesgos de seguridad de sus prácticas de protección de la información y términos contractuales que definen las expectativas para la protección continua de datos.Haga clic aquí para revisar nuestro White paper de seguridad de Paychex.
Pruebas y validación
-
Análisis de vulnerabilidades
Análisis de vulnerabilidades
Se realizan análisis de referencia continuos de vulnerabilidad y configuración de la red, así como análisis de código fuente. Los resultados se comparten con los equipos de TI correspondientes de Paychex para identificar la mejor estrategia de mitigación.
-
Pruebas de penetración
Pruebas de penetración
Se realizan pruebas continuas de penetración interna y externa con respecto a nuestra infraestructura y nuestras aplicaciones. Después de que la gerencia revise estos informes, se realiza la corrección de ser necesario.
Capacitación sobre seguridad y controles internos
-
Capacitación sobre seguridad y controles internos
Capacitación sobre seguridad y controles internos
La capacitación anual sobre controles internos y seguridad ofrece un aprendizaje digital basado en escenarios que le da el control al alumno para que identifique y solucione casos realistas que se personalizan según las ventas o la falta de ventas y los puestos de gerente o colaborador individual. Todos los empleados completan la capacitación, incluidos aquellos empleados a tiempo completo, a tiempo parcial y por contrato. A lo largo del programa de capacitación, el alumno recibe detalles sobre las políticas de la empresa: tanto dentro del contenido de capacitación en sí como en un PDF descargable con enlaces al sitio donde se encuentran todas las políticas. Se le recomienda al alumno consultar los enlaces para obtener los detalles más actualizados sobre las políticas. La capacitación también describe los valores relevantes de Paychex.
Los alumnos profundizan sobre los problemas de seguridad de los datos, lo que incluye identificar y notificar los incidentes de seguridad, así como los peligros de los correos electrónicos de suplantación de identidad y el compromiso de correo electrónico empresarial (BEC, por sus siglas en inglés). También hay módulos de seguridad especializados asignados a empleados con funciones específicas, como acceso de usuario privilegiado, manejo de PHI e, incluso, capacitación en seguridad a nivel ejecutivo que se asignan, además de los temas generales de seguridad que abordan las áreas de riesgo de seguridad para la empresa. Asimismo, los empleados reconocen la importancia de identificar la información protegida, incluido lo siguiente:
- HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico)
- PHI (información médica protegida)
- NACHA (Asociación Nacional de Cámaras de Compensación Automatizadas)
- PII (información de identificación personal)
- PCI (información sobre tarjetas de pago)
La capacitación requiere que los empleados reconozcan que han recibido, revisado y están siguiendo las políticas de Paychex, que incluyen requisitos sobre el manejo de información confidencial y activos de la empresa.
-
Capacitación de concientización sobre la seguridad de los empleados
Capacitación de concientización sobre la seguridad de los empleados
Además de la capacitación anual de concientización sobre la seguridad que se brinda en toda la empresa a través de nuestra formación "La manera correcta", nuestros empleados participan en simulaciones de rutina de suplantación de identidad diseñadas para evaluar y educar a nuestros empleados sobre cómo reconocer y denunciar correos electrónicos de suplantación de identidad.
Además, proporcionamos formación continua a nuestros equipos de desarrollo de software, en que se los instruye en el desarrollo de código seguro y se les proporciona información actualizada sobre diferentes técnicas de ataque.
A lo largo del año, brindamos alertas de seguridad y formaciones a nuestros empleados a través de nuestras redes internas de comunicación de empleados para mantenerlos actualizados sobre las últimas prácticas de higiene de seguridad y avisos que puedan afectarlos. Esto incluye comunicaciones durante octubre mientras aprovechamos el Mes Nacional de Concientización sobre la Seguridad Cibernética para reforzar los conceptos y las prácticas de seguridad.
Planificación de la continuidad del negocio
-
Continuidad comercial y recuperación ante desastres
Continuidad comercial y recuperación ante desastres
Paychex adoptó una estrategia de continuidad comercial diseñada para ayudar a garantizar la continuidad de las funciones críticas de la empresa en caso de una interrupción significativa del negocio en cualquiera de nuestras sucursales u oficinas corporativas, incluidas fallas técnicas que afectan nuestras aplicaciones, nuestros centros de datos, nuestras redes y los edificios que ocupamos. El plan de continuidad comercial de Paychex también incluye medidas diseñadas para hacer frente a condiciones meteorológicas adversas, catástrofes locales y regionales, y acontecimientos que afecten al personal, como las pandemias. Las estrategias de recuperación documentadas y probadas están diseñadas para mitigar el impacto en nuestros clientes ante cualquier interrupción comercial.
-
Riesgos graves
Riesgos graves
Los eventos individuales, que incluyen el clima extremo, pueden afectar la disponibilidad de los servicios al cliente de Paychex y podrían generar un impacto financiero para los clientes, plazos que no se pueden respetar que conllevan sanciones y posibles impactos financieros para Paychex y la reputación general de la marca Paychex. Los factores de riesgo físico grave se evalúan por unidades de negocio, bienes raíces y TI, y se priorizan en lo que respecta a la continuidad comercial, la recuperación ante desastres y la planificación de la reanudación comercial. La amenaza de eventos individuales para las operaciones del centro de datos es mínima, ya que Paychex tiene una redundancia del 200 % para proteger las aplicaciones orientadas al cliente en todos los centros de procesamiento de Paychex. La amenaza para las sucursales de los servicios de Paychex podría ser más importante; sin embargo, la redundancia en todas las ubicaciones de los servicios debe generar un impacto mínimo para los clientes. Los ejemplos incluyen, de manera enunciativa y no limitativa, el clima invernal severo, los huracanes, los tornados, los incendios forestales, las inundaciones y los cortes de energía.
-
Riesgos crónicos
Riesgos crónicos
Los eventos sostenidos asociados con el cambio climático podrían causar interrupciones a largo plazo que provocaran a un impacto financiero para los clientes, los ingresos de Paychex y la reputación general de la marca, ya que algunos de nuestros centros de datos y ubicaciones de servicio pueden ser susceptibles a un mayor consumo de energía, accesibilidad para el personal y proveedores críticos para nuestros centros logísticos. Las ubicaciones redundantes que protegen contra eventos individuales (graves) también pueden verse afectadas por eventos sostenidos y requerir soluciones alternativas. Los ejemplos incluyen, entre otros, el aumento de las temperaturas, los cortes eléctricos y el aumento del nivel del mar.
-
Gestión de los riesgos de las interrupciones del servicio
Gestión de los riesgos de las interrupciones del servicio
Paychex asiste a, aproximadamente, 740 000 clientes que utilizan múltiples servicios y productos de Paychex. Si bien es poco frecuente, hubo ocasiones en las que experimentamos interrupciones o tiempo de inactividad limitados y no planificados. Cuando ocurren estos eventos, trabajamos rápidamente para restaurar el servicio y minimizar el impacto en el cliente. Además, hacemos copias de seguridad de los datos de los clientes en los centros de datos distribuidos en los Estados Unidos y, si hay interrupciones o cortes regionales, se puede acceder a los datos de los clientes desde ubicaciones no afectadas.
Seguridad física
-
Seguridad física
Seguridad física
En 2019, Paychex lanzó la Capacitación de preparación para amenazas activas a fin de ayudar a nuestros empleados a comprender lo que pueden hacer para prepararse y minimizar el impacto en caso de que suceda lo impensable.
Nos asociamos con el Departamento de Policía del condado de Monroe en Rochester, Nueva York, para patrocinar un video de capacitación integral que incluye información, estadísticas y una recreación de una situación con un tirador activo. Fue filmado en locaciones de Paychex de Rochester y presenta a nuestros propios empleados y a la policía local, quienes se ofrecieron como voluntarios para ser actores principales y de reparto en la importante recreación.
Todos los empleados nuevos reciben esta importante capacitación. Los empleados existentes obtienen una formación de repaso anualmente para reforzar los conceptos y principios aprendidos en su capacitación inicial sobre amenazas activas. Paychex y el Departamento de Policía del condado de Monroe han puesto esta capacitación a disposición de empresas e individuos a través del sitio web del Departamento de Policía del condado de Monroe. El objetivo es preparar a las personas para tomar las medidas adecuadas y minimizar la pérdida de vidas.
-
Medidas de seguridad adicionales
Medidas de seguridad adicionales
Identificación con foto del empleado: Los empleados deben llevar visible en todo momento su identificación con foto mientras se encuentren en las instalaciones de Paychex.
Acceso a los edificios: el acceso físico a todos los edificios y centros de datos está restringido a los empleados y a aquellos con una necesidad empresarial justificada. Todos los accesos se supervisan a través de un sistema de control de acceso, videovigilancia y, en algunas ubicaciones, guardias de seguridad. Todos los centros de datos cuentan con sistemas y protocolos de seguridad mejorados.
- Gestión de visitantes: todas las personas que visiten cualquier sucursal de Paychex deben tener una justificación comercial para hacerlo, tienen que registrarse, y se les otorgará un distintivo de visitante numerado. Los visitantes deben estar acompañados en todo momento por un empleado de Paychex.
Recursos del cliente
Su parte: mantenga su información segura
Sepa qué buscar y qué hacer en lo que respecta a la seguridad de su información, sus empleados y su empresa.
-
Cómo mantener su información segura
Cómo mantener su información segura
- Reconozca los riesgos potenciales:
- Le recomendamos que tome todas las precauciones necesarias al manejar y proteger el hardware, los datos, los empleados y las instalaciones de su empresa.
- Use el más alto nivel de autentificación disponible
- Al usar alguna aplicación en línea que requiera inicio de sesión, es una buena práctica aprovechar siempre el más alto nivel de autentificación posible. La autentificación multifactor (MFA), disponible en la aplicación Paychex Flex® para dispositivos móviles y de escritorio, brinda a los usuarios una capa extra de protección. Si bien esta autentificación es un paso adicional, más allá de su nombre de usuario y contraseña, dicho paso autentifica su identidad al iniciar sesión en su cuenta.
- Use la función de cierre de sesión
- Después de ver su cuenta o realizar cualquier transacción en línea, use el botón Cerrar sesión cuando termine y cierre completamente su navegador. Esto garantiza que nadie pueda ver la información de su cuenta una vez que cierre la sesión.
- Mantenga las credenciales de inicio de sesión confidenciales
- Su ID de usuario, nombre de usuario, contraseña, imagen y/o código PIN representan las claves que le permiten acceder a la información de su cuenta en nuestro sistema. No divulgue estas credenciales a otras personas.
- Reconozca los riesgos potenciales:
-
Política de privacidad
Política de privacidad
-
Vea nuestras notificaciones de seguridad activas
Vea nuestras notificaciones de seguridad activas
- Nuevo aviso de seguridad de Paychex: Tenga cuidado con los mensajes de texto falsos con ofertas de trabajo
- Aviso de seguridad de Paychex: Tenga cuidado con las páginas de cuenta de inicio falsas de Paychex Flex®
- Aviso de seguridad de Paychex: Sepa qué hacer con los sitios web falsos que usan el nombre de Paychex
- Aviso de seguridad de Paychex: Sospecha de esquema de inversión fraudulenta en Brasil
- Actualización de seguridad de Paychex: Publicaciones de empleo falsas
- Aviso de seguridad de Paychex: Correo electrónico de suplantación de identidad proveniente de los dominios de Paychex
- Aviso de seguridad de Paychex: Nuevo fraude mediante pishing con anuncios en Google dirigidos a usuarios de PEO
- Actualización de seguridad de Paychex: Tenga cuidado con las campañas de phishing dirigidas a la información del formulario W-2
- Actualización de seguridad de Paychex: Trickbot usa un dominio falso de correo electrónico de Paychex para distribuir malware
- Actualización de seguridad de Paychex: Esté alerta de un correo electrónico falso de “transcripción fiscal” del IRS
-
Reportar una vulnerabilidad de seguridad
Reportar una vulnerabilidad de seguridad
Divulgación responsable
La integridad es uno de los valores centrales de Paychex. Como tal, la seguridad de nuestros sistemas, aplicaciones y datos es primordial. Si cree que ha descubierto una vulnerabilidad, le agradeceremos su ayuda en transmitirla a nuestro equipo de Seguridad de Datos Empresariales de conformidad con nuestros Requisitos de divulgación de responsabilidad.
Paychex invita a los investigadores a compartir con nuestro equipo los detalles de cualquier presunta vulnerabilidad enviando el formulario.
-
Conducta prohibida
Conducta prohibida
Si bien lo animamos a que informe sobre cualquier vulnerabilidad que encuentre de manera responsable, la siguiente conducta está expresamente prohibida:
- Ejecutar o intentar ejecutar un ataque de Denegación de Servicio (DoS) contra algún producto o sitio web.
- Publicar, transmitir, subir, enlazar, enviar o almacenar algún software malicioso o programa informático de extorsión (ransomware).
- Todo acto de extorsión cibernética, incluido poner en riesgo la disponibilidad de los datos de Paychex o los datos de clientes de Paychex, a menos que se reciba un pago.
- Ingeniería social de cualquier empleado, contratista, cliente o posible cliente de Paychex, incluidos, entre otros, la suplantación de identidad (phishing) y cualquier prueba que resulte en correos electrónicos, spam o mensajes no solicitados.
- Realizar pruebas de vulnerabilidad o penetración no aprobadas.
- Vender, intercambiar o beneficiarse de una vulnerabilidad o de datos que no le pertenecen.
- Descargar, exfiltrar, copiar o retener datos de Paychex o datos de clientes de Paychex que no le pertenezcan.
- Tenga en cuenta que, si los datos que no le pertenecen se descubren como resultado de una vulnerabilidad, deben eliminarse de los sistemas no aprobados y los intentos adicionales de explotación deben cesar de inmediato.
- Destruir, corromper o modificar deliberadamente datos o información que no le pertenecen, o intentar hacerlo.
Violar alguna ley internacional, federal, estatal y/o local aplicable o algún acuerdo aplicable.
Reportar un problema de seguridad
Si cree que alguien ha accedido a su cuenta o a su información sin autorización, contáctenos inmediatamente.
Una vez que sospeche de actividad potencialmente fraudulenta, deberá tomar medidas para salvaguardar su información personal y de su cuenta. Revise qué medidas puede tomar para abordar ejemplos específicos y conozca algunas buenas prácticas para manejar la información de su cuenta.
Paquete de Paychex
Ejemplo: Hubo un problema con la entrega de mi paquete de Paychex.
Siguientes pasos:
Comuníquese con la sucursal local de Paychex.
La asistencia de nómina está disponible las 24 horas del día, los 7 días de la semana, todo el año.
Aprenda cómo puede proteger su información.
Cuentas en línea
Ejemplo: Soy empleado de un cliente de Paychex y necesito asistencia técnica
Siguientes pasos:
Inicie sesión en www.paychexflex.com y haga clic en el signo ?, en la parte inferior derecha de la página para obtener ayuda a través del chat.
Comunicaciones
Ejemplo: Recibí una llamada telefónica sospechosa, un mensaje de texto, un correo electrónico o una carta de alguien que decía ser de Paychex.
Siguientes pasos:
Comuníquese con la sucursal local de Paychex.
La asistencia de nómina está disponible las 24 horas del día, los 7 días de la semana, todo el año.
Virus informáticos
Ejemplo: Hice clic en un enlace de un correo electrónico sospechoso. Revelé mi información de cuenta en línea. Mi software antivirus me notificó que tenía un virus.
Siguientes pasos:
Pida a un profesional de informática en su empresa que revise su computadora.
Si cree que el virus afecta a su cuenta Paychex, comuníquese con la sucursal Paychex de su localidad.La asistencia de nómina está disponible las 24 horas del día, los 7 días de la semana, todo el año.
Aprenda cómo ayudar a reducir los riesgos futuros que puedan afectar su información en línea.