Políticas de seguridad para la transmisión de datos de tarjetas
Última actualización: 18 / 11 / 2025
1. Introducción
Reddi se compromete a proteger la información financiera de usuarios y comercios, utilizando protocolos de seguridad que cumplen con estándares internacionales y las normativas bancarias de la República Dominicana utilizadas por Azul.
Todos los pagos procesados en Reddi son manejados por proveedores certificados PCI DSS Nivel 1, incluyendo Azul y proveedores equivalentes.
Reddi no almacena, procesa ni maneja directamente información completa de tarjetas.
2. Alcance
Esta política aplica a:
- Todas las transacciones procesadas mediante Azul, Stripe o cualquier proveedor PCI DSS Nivel 1.
- Usuarios que agregan métodos de pago.
- Comercios que reciben pagos a través de Reddi.
- Transmisión y tratamiento de datos de tarjetas en todas las zonas operativas presentes y futuras.
3. Cumplimiento Normativo
Reddi opera bajo:
3.1. PCI DSS Nivel 1
Todos los datos se transmiten y procesan bajo el estándar global utilizado por Azul y Stripe.
3.2. Normativas del Banco Popular Dominicano (Azul)
Azul exige:
- Tokenización obligatoria
- No almacenamiento de datos sensibles
- Validación de transacciones en territorio dominicano
- Fraud scoring local e internacional
- Procesamiento bajo infraestructura bancaria certificada
3.3. Regulaciones de la Superintendencia de Bancos (SB)
Cuando apliquen, transacciones se ajustarán a normas nacionales de seguridad financiera.
4. Principios de Seguridad
4.1. No almacenamiento
Reddi no almacena:
- Número completo de tarjeta
- CVV
- Fecha de expiración
- Datos sensibles del titular
Esto cumple tanto con PCI DSS como con las reglas de Azul y Stripe.
4.2. Tokenización (Azul + Stripe)
El sistema convierte los datos de tarjeta en tokens encriptados, usados en transacciones futuras sin exponer información real.
- Azul tokeniza la tarjeta según los estándares dominicanos.
- Stripe tokeniza usando infraestructura global.
- Ningún token puede usarse fuera del entorno autorizado.
4.3. Encriptación
La transmisión de datos utiliza:
- TLS 1.2+
- Certificados SSL actualizados
- Algoritmos criptográficos aprobados por PCI DSS, Azul y Stripe.
4.4. 3D Secure / Verified by Visa / Mastercard SecureCode
Azul requiere autenticación adicional (3DS) para reducir fraude en:
- Tarjetas emitidas en RD
- Transacciones sospechosas
- Operaciones de alto valor
Reddi cumple este proceso automáticamente a través del gateway.
5. Captura y Transmisión de Datos
5.1. Captura
- El formulario de pago es proporcionado por Azul o Stripe mediante una interfaz de pago segura y alojada directamente por el proveedor.
- Reddi nunca recibe datos de tarjetas en sus servidores.
5.2. Transmisión
- Los datos se envían directamente al proveedor de pagos.
- La información se cifra localmente y durante toda la transmisión.
5.3. Validación
Azul realiza validaciones como:
- AVS (cuando aplica)
- 3D Secure
- Fraud Score Azul (motor local)
- Autorización bancaria en RD
6. Almacenamiento
Reddi sólo puede almacenar:
- Últimos 4 dígitos
- Tipo de tarjeta
- Token generado
- Estado del método de pago
Esto está completamente alineado con Azul, Stripe y los estándares PCI DSS.
7. Acceso Interno y Control
- Nadie en Reddi (incluyendo empleados, repartidores o comercios) tiene acceso a datos completos.
- Accesos administrativos están protegidos con 2FA/MFA.
- Se realizan auditorías periódicas junto a los proveedores de pago.
8. Prevención y Detección de Fraude
Automático (Azul + Stripe):
- Motor antifraude Azul local + filtros internacionales
- 3D Secure
- IP & device risk scoring
- Detección de patrones inusuales
- Bloqueo de tarjetas comprometidas
Manual (Reddi):
- Revisión de disputas
- Confirmaciones con comercios
- Validación de actividad sospechosa
- Soporte local
9. Responsabilidades del Usuario
Los usuarios deben:
- Usar redes seguras
- Mantener su dispositivo actualizado
- Reportar transacciones sospechosas
- No compartir métodos de pago
10. Responsabilidades del Comercio
Los comercios deben:
- No solicitar pagos o datos de tarjetas fuera de Reddi
- Reportar actividades sospechosas
- Mantener información de su negocio actualizada
- Cumplir con las políticas de seguridad y procesamiento establecidas por Reddi, las cuales se basan en los requisitos de Azul, Stripe y los estándares PCI DSS.
11. Incidentes de Seguridad
En caso de detectar un incidente:
- Reddi activará su Protocolo de Respuesta a Incidentes.
- Se notificará a los usuarios, comercios y a Azul/Stripe según la ley.
- Se aislará la actividad sospechosa.
- Se tomarán medidas correctivas con el proveedor de pagos.
12. Modificaciones
Reddi puede actualizar esta política cuando:
- Cambien los estándares PCI DSS
- Azul o Stripe modifiquen sus requisitos
- Ingresen nuevos proveedores de pago
- Nuevas zonas operativas lo requieran
Se avisará a usuarios y comercios antes de aplicar cambios.
