Verdict

Seguridad y Privacidad

Real ID está comprometido con la seguridad y la privacidad de los clientes finales y comerciantes por igual, utilizando la verificación de identidad para facilitar la confianza y cumplir con las regulaciones de KYC, AML y restricciones de edad.

Esta no es una lista exhaustiva de prácticas, sino una visión general de políticas y procedimientos clave.

Real ID ha completado y ha sido aprobado para los requisitos de Protección de Datos de Clientes de Nivel 1 y Nivel 2 de Shopify. La conformidad con SOC 2 está en progreso.

Si tienes alguna pregunta relacionada con la seguridad o necesitas reportar un problema de seguridad puedes enviar un correo a security@getverdict.com.

Si tienes alguna pregunta relacionada con la privacidad, o deseas realizar una solicitud de GDPR o CCPA puedes enviarnos un correo a privacy@getverdict.com.

Políticas de Privacidad

Real ID proporciona herramientas para cumplir con regulaciones de privacidad de clientes como GDPR, CCPA, así como para anular decisiones de la A.I. y eliminar permanentemente los datos de clientes a petición.

Lee nuestra política de privacidad completa aquí.

No vender datos

Todos los ingresos de Real ID provienen directamente de suscripciones de comerciantes y tarifas de uso de su servicio de verificación de identidad. Respetamos la privacidad de nuestros comerciantes y clientes y no vendemos ni obtenemos beneficios de los datos de los clientes de ninguna manera.

Datos recopilados

La función principal de Real ID es recopilar y verificar de forma segura e instantánea los documentos de identidad de tus clientes.

Como parte de ese proceso, Real ID recopilará metadatos durante la verificación de identidad para controles adicionales contra fraude.

Esto incluye imágenes de los documentos de identidad del cliente e información biométrica opcional como fotografías para compararlas con los documentos y aumentar la seguridad.

Real ID también recopilará direcciones IP, metadatos del dispositivo, metadatos del pedido como números de teléfono, correos electrónicos y datos proporcionados directamente por el cliente como nombre, apellido y correo electrónico.

El único propósito de recopilar esta información es corroborar múltiples piezas de información identificable del mundo real para ayudar a tomar la decisión automatizada más precisa posible. Esto ayuda a proporcionar la visión más completa posible de la identidad real del cliente.

Almacenamiento de datos

La PII (información personal identificable) de los clientes se almacena estrictamente dentro de la infraestructura privada de Real ID. Ningún dato personal de clientes como los detalles extraídos de documentos de identidad o imágenes de documentos de identidad se almacena en Shopify, WooCommerce o tu plataforma de comercio electrónico.

En su lugar, Real ID solo deja un token único que representa una identidad única en la base de datos de Real ID. De esta manera, ningún PII se almacena directamente en tu infraestructura, pero las cuentas y pedidos aún tienen una referencia al chequeo de identidad correspondiente de ese cliente o pedido.

Más detalles técnicos sobre el almacenamiento de PII están disponibles en la sección Detalles de Hosting.

Compartir datos mínimos

Real ID solo comparte los datos mínimos necesarios con otros servicios para su procesamiento. La única razón para compartir datos es facilitar el proceso y servicio de verificación de identidad. No obtenemos ganancias compartiendo datos; nuestra única fuente de ingresos son las tarifas de suscripción de los comerciantes.

Políticas de eliminación de datos de clientes

Limita tu riesgo y cumple con las regulaciones de privacidad definiendo una política de retención de datos ajustada dentro de Real ID.

Especifica cuánto tiempo deben conservarse los datos de clientes, con granularidad desde 1 día hasta 5 años.

Real ID aplica políticas de retención para eliminar automáticamente los datos de clientes marcados a las 00:00 UTC.

Cumplimiento con GDPR y CCPA

El Reglamento General de Protección de Datos (GDPR) es una regulación de la UE sobre protección de datos y privacidad para todas las personas dentro de la Unión Europea (UE) y el Espacio Económico Europeo (EEE). Un "procesador" según el GDPR es cualquier entidad que procesa datos personales en nombre de un controlador.

La Ley de Privacidad del Consumidor de California (CCPA) es una regulación similar que otorga derechos sobre los datos de los californianos almacenados por servicios en línea.

Al igual que GDPR, la CCPA otorga a los consumidores el derecho de conocer los datos recopilados por los servicios, eliminar datos almacenados por los servicios, así como optar por no participar en la recopilación.

Real ID se considera una entidad Procesadora de Datos bajo GDPR y tiene la responsabilidad de garantizar la seguridad de los datos personales y tomar medidas apropiadas para prevenir el acceso no autorizado, divulgación, alteración o destrucción de los datos personales.

Los clientes pueden solicitar sus datos recopilados, así como eliminarlos en cualquier momento enviando una solicitud a privacy@getverdict.com.

Real ID se integra con el sistema de cumplimiento GDPR de Shopify que eliminará y recuperará datos de clientes a petición a través de la plataforma Shopify.

Herramientas de Cumplimiento para Comerciantes

Como controlador que usa Real ID, tienes la posibilidad de descargar y eliminar datos de clientes en cualquier momento utilizando el panel de Real ID.

Puedes eliminar datos de clientes en cualquier momento, lo que eliminará de forma permanente e irreversible las fotos y los datos personales identificables.

Cumplimiento GDPR en Shopify

Real ID se integra con los eventos de ciclo de vida GDPR de clientes y comerciantes de Shopify.

Cuando los clientes finales envían solicitudes de datos o solicitudes de eliminación, Real ID proporcionará automáticamente estos datos para ti o eliminará esta información en tu nombre.

Al desinstalar Real ID, tus datos de comerciante y los datos de clientes serán eliminados en un plazo de 30 días hábiles.

Optar por no aceptar decisiones de A.I.

Como comerciante, puedes optar por no aceptar decisiones automatizadas del sistema A.I. de verificación de identidad integrado aprobando o rechazando manualmente un chequeo de identidad en el panel de Real ID.

Esto anulará el resultado automático de un chequeo de identidad y permitirá que el cliente pase la verificación de identidad o rechace su envío.

Además, puedes permitir que el cliente reintente su envío de verificación de identidad enviándole un nuevo chequeo de identidad.

Medidas de Seguridad Operacional

Real ID implementa medidas de seguridad de mejores prácticas para cuentas operativas, incluyendo pero no limitado a lo siguiente:

  • Todas las contraseñas de usuario deben tener 20 caracteres, ser únicas en todas las cuentas y generadas aleatoriamente con entropía.
  • MFA es requerido en todas las cuentas.
  • Se utilizan llaves físicas para MFA cuando están disponibles, seguidas de tokens basados en aplicaciones.
  • Se implementan restablecimientos regulares de contraseñas y actualizaciones de tokens de API.

Detalles de Hosting

Todos los datos e imágenes de comerciantes y clientes gestionados por Real ID se alojan dentro de la plataforma Amazon Web Services (AWS) en las regiones us-east-1 y us-east-2.

Puedes leer más sobre las prácticas de seguridad y certificaciones de conformidad de AWS aquí.

AWS es un proveedor de infraestructura como servicio de primera clase, lo que permite a Real ID implementar cifrado del lado del servidor y del cliente.

Además, permite a Real ID segregar el acceso a la infraestructura según roles específicos de empleados para limitar accesos.

Cifrado en tránsito y en reposo

Real ID emplea cifrado de última generación durante la verificación de identidad, así como en nuestras bóvedas que almacenan los datos de tus clientes y fotos de documentos de identidad.

Durante el tránsito desde los dispositivos de los clientes hacia Real ID, las bóvedas están protegidas con el protocolo Secure Socket Layer/Transport Layer Security (SSL/TLS).

En reposo, las imágenes de los clientes están cifradas con el estándar industrial Advanced Encryption Standard (AES256) para proteger los archivos contra accesos no autorizados y proteger la confidencialidad de los clientes.

AES256 es el estándar industrial porque la clave usada para el cifrado tiene 256 bits de longitud, lo que significa que existen 2^256 combinaciones posibles de la clave. Esto hace extremadamente difícil que alguien descubra la clave mediante métodos de fuerza bruta, como probar todas las combinaciones posibles hasta encontrar la correcta.

Los comerciantes no tienen acceso a estas claves AES. En su lugar, las imágenes se comparten mediante enlaces de corta duración en tu panel de Real ID en Shopify o WooCommerce. Para limitar tu exposición, estos enlaces expiran después de 15 minutos.

Protección y Prevención de Intrusiones

Real ID usa Cloudflare para su Firewall de Aplicaciones Web (WAF). Cloudflare está construido con los principios modernos de infraestructura Zero Trust para aplicaciones web modernas.

Cloudflare proporciona prevención de intrusiones a través de reglas de firewall adaptativas avanzadas basadas en datos de amenazas en tiempo real de su red global. Conoce más sobre las políticas de seguridad de Cloudflare aquí.

Además, Real ID implementa registros y monitoreo de acceso a la infraestructura.

Políticas de Contingencia de Datos

Para proteger contra pérdida de datos, estos se respaldan entre múltiples regiones físicas dentro de nuestro proveedor de la nube.

Esto proporciona una contingencia en caso de pérdida de datos en un único centro de datos físico.

Estos respaldos se realizan a diario. Las instantáneas expiradas se eliminan en un periodo de tiempo razonable.