Information Security PolicyPolítica de Seguridad de la Información
This Policy applies to all Aloha Pay employees, contractors, interns, and third parties with access to Aloha Pay systems or data.Esta Política aplica a todos los empleados, contratistas, internos, y terceros con acceso a los sistemas o datos de Aloha Pay.
1. Purpose & Scope1. Propósito y Alcance
This Information Security Policy ("Policy") establishes the framework, responsibilities, and minimum standards for protecting the confidentiality, integrity, and availability of information assets owned, processed, or handled by Aloha Systems Corp. d/b/a Aloha Pay ("Aloha Pay"). This Policy applies to all personnel (employees, contractors, interns, partners) and all systems, networks, and data used in connection with Aloha Pay's operations, including the payment platform, APIs, client data, and End User data.
Esta Política de Seguridad de la Información ("Política") establece el marco, las responsabilidades y los estándares mínimos para proteger la confidencialidad, integridad y disponibilidad de los activos de información propiedad de, procesados por, o manejados por Aloha Systems Corp. d/b/a Aloha Pay ("Aloha Pay"). Esta Política aplica a todo el personal (empleados, contratistas, internos, socios) y a todos los sistemas, redes y datos utilizados en conexión con las operaciones de Aloha Pay, incluyendo la plataforma de pagos, APIs, datos de clientes, y datos de Usuarios Finales.
This Policy is designed to be consistent with and support Aloha Pay's obligations under: the Master Services Agreement with B2B clients; applicable U.S. federal and state law (including Gramm-Leach-Bliley Act, Bank Secrecy Act, and OFAC regulations); and internationally recognized security standards including NIST Cybersecurity Framework (CSF) and ISO/IEC 27001 principles.
Esta Política está diseñada para ser consistente con y apoyar las obligaciones de Aloha Pay bajo: el Master Services Agreement con clientes B2B; las leyes federales y estatales de EE.UU. aplicables (incluyendo la Gramm-Leach-Bliley Act, Bank Secrecy Act, y regulaciones OFAC); y estándares internacionales de seguridad reconocidos incluyendo el NIST Cybersecurity Framework (CSF) y los principios ISO/IEC 27001.
2. Information Asset Classification2. Clasificación de Activos de Información
All information assets handled by Aloha Pay are classified into the following tiers:
Todos los activos de información manejados por Aloha Pay se clasifican en los siguientes niveles:
| LevelNivel | IncludesIncluye | Handling requirementManejo requerido |
|---|---|---|
| RestrictedRestringido | API keys, passwords, encryption keys, End User PII, payment credentials, AML/SAR dataAPI keys, contraseñas, llaves de cifrado, PII de Usuarios Finales, credenciales de pago, datos AML/SAR | Encrypted at rest and in transit. Access by role-based authorization only. Logs all access.Cifrado en reposo y en tránsito. Acceso solo por autorización basada en roles. Registra todos los accesos. |
| ConfidentialConfidencial | Client data, business strategy, MSA terms, pricing, source code, internal financial dataDatos de clientes, estrategia de negocio, términos del MSA, precios, código fuente, datos financieros internos | Need-to-know access. Confidentiality obligations apply. Secure disposal required.Acceso por necesidad de conocer. Aplican obligaciones de confidencialidad. Requiere destrucción segura. |
| InternalInterno | Internal procedures, employee data, operational communicationsProcedimientos internos, datos de empleados, comunicaciones operativas | Available to Aloha Pay personnel only. Not shared externally without authorization.Disponible solo para el personal de Aloha Pay. No se comparte externamente sin autorización. |
| PublicPúblico | Website content, product descriptions, published policiesContenido del sitio web, descripciones de producto, políticas publicadas | No special handling required.No requiere manejo especial. |
3. Access Control3. Control de Acceso
Role-Based Access Control (RBAC)Control de Acceso Basado en Roles (RBAC)
Access to Aloha Pay systems and data is granted based on job function and the principle of least privilege. Access rights are reviewed quarterly and revoked immediately upon role change or termination.
El acceso a los sistemas y datos de Aloha Pay se otorga según la función laboral y el principio de mínimo privilegio. Los derechos de acceso se revisan trimestralmente y se revocan inmediatamente ante cambio de rol o terminación.
Multi-Factor Authentication (MFA)Autenticación Multi-Factor (MFA)
MFA is required for all personnel accessing production systems, payment infrastructure, client dashboards, and any system containing Restricted or Confidential data.
Se requiere MFA para todo el personal que acceda a sistemas de producción, infraestructura de pagos, dashboards de clientes, y cualquier sistema que contenga datos Restringidos o Confidenciales.
Password StandardsEstándares de Contraseñas
Passwords must be at least 14 characters, include upper/lowercase, numbers, and special characters. Passwords must not be shared. A password manager approved by Aloha Pay must be used for all system credentials.
Las contraseñas deben tener al menos 14 caracteres, incluir mayúsculas/minúsculas, números y caracteres especiales. Las contraseñas no deben compartirse. Se debe usar un gestor de contraseñas aprobado por Aloha Pay para todas las credenciales de sistemas.
Third-Party AccessAcceso de Terceros
Vendors, contractors, and third parties (including clients accessing via API) receive only the minimum access necessary. Third-party access agreements must include confidentiality and security obligations equivalent to this Policy.
Proveedores, contratistas y terceros (incluyendo clientes que acceden vía API) reciben solo el acceso mínimo necesario. Los acuerdos de acceso de terceros deben incluir obligaciones de confidencialidad y seguridad equivalentes a esta Política.
4. Data Protection & Encryption4. Protección de Datos y Cifrado
Encryption at RestCifrado en Reposo
All Restricted and Confidential data stored in Aloha Pay systems must be encrypted using AES-256 or equivalent. Databases containing payment credentials or End User PII must use field-level encryption for sensitive fields.
Todos los datos Restringidos y Confidenciales almacenados en sistemas de Aloha Pay deben estar cifrados usando AES-256 o equivalente. Las bases de datos que contienen credenciales de pago o PII de Usuarios Finales deben usar cifrado a nivel de campo para campos sensibles.
Encryption in TransitCifrado en Tránsito
All data transmitted over public networks must use TLS 1.2 or higher. API communications must use HTTPS/TLS. Unencrypted transmission of Restricted or Confidential data is prohibited.
Todos los datos transmitidos sobre redes públicas deben usar TLS 1.2 o superior. Las comunicaciones API deben usar HTTPS/TLS. Se prohíbe la transmisión no cifrada de datos Restringidos o Confidenciales.
Data MinimizationMinimización de Datos
Aloha Pay collects only the data necessary for the provision of Services, compliance with applicable law, and fraud prevention. Data that is no longer required must be securely deleted in accordance with the retention schedule below.
Aloha Pay recopila solo los datos necesarios para la prestación de los Servicios, el cumplimiento de la ley aplicable, y la prevención de fraudes. Los datos que ya no sean necesarios deben eliminarse de forma segura según el calendario de retención a continuación.
Retention ScheduleCalendario de Retención
- Transaction records and KYC/KYB documentation — 5 years minimum (BSA requirement).Registros de transacciones y documentación KYC/KYB — mínimo 5 años (requisito BSA).
- End User PII — retained only as long as necessary; deleted upon written request except where retention is required by law.PII de Usuarios Finales — retenido solo el tiempo necesario; eliminado ante solicitud escrita excepto cuando la retención es requerida por ley.
- Audit logs — 3 years minimum.Registros de auditoría — mínimo 3 años.
5. Network & Infrastructure Security5. Seguridad de Red e Infraestructura
Network SegmentationSegmentación de Red
Production payment infrastructure must be isolated from development, staging, and corporate networks. Firewall rules must implement a default-deny policy with explicit allow rules for required traffic only.
La infraestructura de pago en producción debe estar aislada de las redes de desarrollo, staging y corporativas. Las reglas de firewall deben implementar una política de denegación por defecto con reglas de permiso explícitas solo para el tráfico requerido.
Vulnerability ManagementGestión de Vulnerabilidades
Security patches for operating systems and critical applications must be applied within 30 days of release (critical patches within 7 days). Aloha Pay will conduct at minimum annual penetration testing of the payment platform and API infrastructure.
Los parches de seguridad para sistemas operativos y aplicaciones críticas deben aplicarse dentro de los 30 días posteriores al lanzamiento (parches críticos dentro de los 7 días). Aloha Pay realizará al menos pruebas de penetración anuales de la plataforma de pagos y la infraestructura API.
Monitoring and LoggingMonitoreo y Registro
Aloha Pay maintains security event logs for all access to production systems, payment transactions, and administrative actions. Logs must be stored in a tamper-evident manner and reviewed regularly for anomalous activity.
Aloha Pay mantiene registros de eventos de seguridad para todos los accesos a sistemas de producción, transacciones de pago, y acciones administrativas. Los registros deben almacenarse de manera a prueba de manipulación y revisarse regularmente para detectar actividad anómala.
Cloud SecuritySeguridad en la Nube
All cloud infrastructure used for payment processing must comply with SOC 2 Type II or equivalent standards. Aloha Pay will maintain documentation of cloud service provider security certifications for key infrastructure providers.
Toda la infraestructura en la nube utilizada para el procesamiento de pagos debe cumplir con los estándares SOC 2 Tipo II o equivalentes. Aloha Pay mantendrá documentación de las certificaciones de seguridad de los proveedores de servicios en la nube para los principales proveedores de infraestructura.
6. Incident Response6. Respuesta a Incidentes
Aloha Pay maintains an Incident Response Plan (IRP) that governs the detection, containment, investigation, and notification procedures for security incidents. The following summarizes key obligations:
Aloha Pay mantiene un Plan de Respuesta a Incidentes (IRP) que rige los procedimientos de detección, contención, investigación y notificación para incidentes de seguridad. A continuación se resumen las obligaciones clave:
ReportingReporte
All personnel must report suspected security incidents immediately to security@aloha.co. Incidents involving Restricted data must be escalated to the CEO and legal counsel within 2 hours of detection.
Todo el personal debe reportar incidentes de seguridad sospechados inmediatamente a security@aloha.co. Los incidentes que involucren datos Restringidos deben ser escalados al CEO y al asesor legal dentro de las 2 horas de detección.
Client NotificationNotificación al Cliente
In the event of a confirmed security incident materially affecting Client Data, Aloha Pay will notify affected clients without undue delay and in any event within 72 hours of confirmation, subject to any limitations required by law enforcement.
En caso de un incidente de seguridad confirmado que afecte materialmente los Datos del Cliente, Aloha Pay notificará a los clientes afectados sin demora indebida y en todo caso dentro de las 72 horas de confirmación, sujeto a las limitaciones que exija la autoridad legal.
Post-Incident ReviewRevisión Post-Incidente
A root cause analysis and lessons-learned report must be completed within 30 days of any significant security incident. Remediation actions must be tracked to closure.
Un análisis de causa raíz y un informe de lecciones aprendidas deben completarse dentro de los 30 días de cualquier incidente de seguridad significativo. Las acciones de remediación deben rastrearse hasta su cierre.
7. AML, Fraud Prevention & Sanctions Screening7. AML, Prevención de Fraude y Screening de Sanciones
Aloha Pay operates a written AML Compliance Program as required by the Bank Secrecy Act and FinCEN regulations. The following security-relevant controls apply to all payment operations:
Aloha Pay opera un Programa de Cumplimiento AML escrito según lo requiere la Bank Secrecy Act y las regulaciones de FinCEN. Los siguientes controles relevantes de seguridad aplican a todas las operaciones de pago:
Transaction MonitoringMonitoreo de Transacciones
Aloha Pay deploys automated transaction monitoring tools to detect patterns consistent with money laundering, fraud, structuring, or other suspicious activity. Alerts are reviewed by compliance personnel and escalated as required.
Aloha Pay despliega herramientas automatizadas de monitoreo de transacciones para detectar patrones consistentes con lavado de dinero, fraude, estructuración, u otra actividad sospechosa. Las alertas son revisadas por el personal de cumplimiento y escaladas según sea necesario.
Sanctions ScreeningScreening de Sanciones
All clients and End Users (where applicable) are screened against OFAC's SDN list and other applicable sanctions lists at onboarding and on an ongoing basis. Any match triggers immediate hold and compliance review.
Todos los clientes y Usuarios Finales (donde aplique) son verificados contra la lista SDN de OFAC y otras listas de sanciones aplicables en el onboarding y de forma continua. Cualquier coincidencia activa una retención inmediata y revisión de cumplimiento.
API Abuse PreventionPrevención de Abuso de API
Aloha Pay monitors API usage for anomalous patterns including velocity abuse, credential stuffing, and unauthorized data access. Rate limits and IP-based controls are applied to all client API integrations.
Aloha Pay monitorea el uso de APIs para detectar patrones anómalos incluyendo abuso de velocidad, credential stuffing, y acceso no autorizado a datos. Se aplican límites de tasa y controles basados en IP a todas las integraciones de API de clientes.
8. Personnel Security & Training8. Seguridad del Personal y Capacitación
Background ChecksVerificación de Antecedentes
All Aloha Pay employees and contractors with access to Restricted or Confidential data must complete a background check prior to access being granted.
Todos los empleados y contratistas de Aloha Pay con acceso a datos Restringidos o Confidenciales deben completar una verificación de antecedentes antes de que se les otorgue acceso.
Security TrainingCapacitación en Seguridad
All personnel must complete security awareness training upon onboarding and annually thereafter. Training must cover phishing recognition, password hygiene, data handling, and incident reporting.
Todo el personal debe completar capacitación en concienciación de seguridad al incorporarse y anualmente a partir de entonces. La capacitación debe cubrir reconocimiento de phishing, higiene de contraseñas, manejo de datos y reporte de incidentes.
Clean Desk & Screen LockEscritorio Limpio y Bloqueo de Pantalla
Personnel must not leave Restricted or Confidential data visible and unattended. Workstations must auto-lock after 5 minutes of inactivity.
El personal no debe dejar datos Restringidos o Confidenciales visibles y sin atención. Las estaciones de trabajo deben bloquearse automáticamente después de 5 minutos de inactividad.
OffboardingDesvinculación
Upon termination of employment or engagement, all access rights must be revoked within 2 hours. Equipment must be returned and accounts deprovisioned on the termination date.
Al terminar el empleo o compromiso, todos los derechos de acceso deben revocarse dentro de las 2 horas. El equipo debe devolverse y las cuentas darse de baja en la fecha de terminación.
9. Third-Party & Vendor Security9. Seguridad de Terceros y Proveedores
All third-party vendors and service providers with access to Aloha Pay systems or data must demonstrate adequate security controls before engagement. This includes: execution of a confidentiality and data processing agreement; annual review of the vendor's SOC 2 report or equivalent; and contractual right for Aloha Pay to audit vendor security controls. Banking partners and payment network providers are subject to additional due diligence appropriate to the nature and volume of their access.
Todos los proveedores y prestadores de servicios de terceros con acceso a los sistemas o datos de Aloha Pay deben demostrar controles de seguridad adecuados antes del compromiso. Esto incluye: ejecución de un acuerdo de confidencialidad y procesamiento de datos; revisión anual del informe SOC 2 del proveedor o equivalente; y derecho contractual de Aloha Pay para auditar los controles de seguridad del proveedor. Los socios bancarios y proveedores de redes de pago están sujetos a una debida diligencia adicional apropiada a la naturaleza y volumen de su acceso.
10. Policy Governance & Compliance10. Gobernanza y Cumplimiento de la Política
This Policy is owned by Aloha Pay's CEO and Legal/Compliance function. It is reviewed annually and updated as required to reflect changes in the threat landscape, applicable law, or Aloha Pay's operations. Violations of this Policy may result in disciplinary action, termination of engagement, and/or legal consequences depending on severity.
Esta Política es propiedad de la función de CEO y Legal/Cumplimiento de Aloha Pay. Se revisa anualmente y se actualiza según sea necesario para reflejar cambios en el panorama de amenazas, la ley aplicable, o las operaciones de Aloha Pay. Las violaciones de esta Política pueden resultar en acciones disciplinarias, terminación del compromiso, y/o consecuencias legales dependiendo de la gravedad.
Compliance with this Policy is mandatory for all personnel and third parties within its scope. Personnel who become aware of a potential violation must report it immediately to security@aloha.co or to the CEO. Aloha Pay will not retaliate against any person who in good faith reports a security concern.
El cumplimiento de esta Política es obligatorio para todo el personal y terceros dentro de su alcance. El personal que tome conocimiento de una posible violación debe reportarla inmediatamente a security@aloha.co o al CEO. Aloha Pay no tomará represalias contra ninguna persona que de buena fe reporte una preocupación de seguridad.
Policy Owner: CEO / Legal & Compliance — Aloha Systems Corp. | Version 1.0 | June 2026 | Next review: June 2027Propietario: CEO / Legal y Cumplimiento — Aloha Systems Corp. | Versión 1.0 | Junio 2026 | Próxima revisión: Junio 2027