PaGobPaGobAgendar Demo
Volver al blog
Seguridad
Seguridad 6 min

Seguridad en recaudacion digital: preguntas que todo gobierno debe hacer

Infraestructura AWS, PCI DSS, bitacoras, recuperacion ante desastres y cumplimiento. Las preguntas que deberia responder cualquier proveedor antes de firmar.

La recaudacion digital mueve datos sensibles y dinero. La seguridad no es un extra: es parte del servicio. Estas son las preguntas que todo gobierno deberia hacer antes de firmar con cualquier proveedor, incluyendo PaGob.

Infraestructura

  • Donde corre el sistema? Un proveedor serio opera sobre infraestructura de nube reconocida, como AWS, con regiones, replicas y respaldos definidos. PaGob esta desplegado 100 por ciento sobre AWS con arquitectura serverless, lo que reduce superficies de ataque comparado con servidores tradicionales.
  • Como se escala en temporada alta? Predial y agua generan picos muy marcados. El proveedor debe demostrar que el sistema absorbe esos picos sin degradarse.

Cumplimiento de pagos

  • Se almacenan datos de tarjeta? La respuesta correcta es no. El pago se procesa contra un proveedor PCI DSS certificado y el portal nunca guarda el numero de tarjeta.
  • El proveedor o sus socios estan certificados PCI DSS? Esto es innegociable en cualquier operacion con tarjetas.
  • Hay autenticacion reforzada para pagos? 3D Secure u otros mecanismos equivalentes.

Bitacoras y trazabilidad

  • Cada pago deja rastro con fecha, monto, concepto y referencia? Debe ser posible auditar cualquier operacion despues de meses.
  • Quien accede a los reportes internos y con que nivel? Roles y permisos claros, con registro de acciones sensibles.

Recuperacion ante desastres

  • Cada cuanto se respalda la informacion y cuanto tarda la recuperacion? Objetivos de tiempo de recuperacion y punto de recuperacion definidos por escrito, no como promesa verbal.
  • Hay redundancia entre regiones o zonas? Un incidente en una region no deberia detener la recaudacion.

Cumplimiento regulatorio en Mexico

  • Tratamiento de datos personales conforme a la LFPDPPP, aviso de privacidad visible y procesos claros para atender derechos ARCO.
  • Facturacion electronica conforme al SAT cuando aplica.
  • Politicas internas alineadas a requerimientos de la administracion publica municipal o estatal.

Operacion y soporte

  • Que se hace si el portal se cae un lunes de quincena? Tiempos de respuesta, canales de soporte y responsable operativo.
  • Hay monitoreo 24/7 o el gobierno se entera por Twitter? Un proveedor serio ve el problema antes que el ciudadano.

Que verificar antes de contratar

  • Solicitar evidencia, no solo declaraciones: diagramas, certificados, ejemplos de bitacoras, contratos anteriores.
  • Pedir una prueba con datos reales y revisar como se comporta el sistema bajo carga.
  • Revisar clausulas de disponibilidad, respaldo, salida y propiedad de los datos.

La seguridad en recaudacion digital no se demuestra con palabras, se demuestra con arquitectura, certificaciones y operacion. Hacer estas preguntas al inicio evita sorpresas caras mas adelante.

PaGob

Portal de recaudacion digital para gobiernos estatales y municipales.

Agendar diagnóstico

PaGob · Portal de Pagos para Gobierno