En la era digital actual, donde la cantidad de datos que se generan, almacenan y procesan es inmensa, la seguridad de la información se ha convertido en un pilar fundamental para cualquier empresa tecnológica, especialmente aquellas que manejan información financiera y personal sensible. Block, conocida por sus innovadoras soluciones de pago y servicios tecnológicos, ha desarrollado un enfoque innovador y robusto para gestionar la sensibilidad y protección de los datos: el Marco de Niveles de Seguridad de Datos (Data Safety Levels Framework, DSL). Este marco no solo refleja un compromiso firme con la privacidad del usuario, sino que también establece un estándar integral para la protección de datos que se extiende a través de sus múltiples productos, como Cash App, Square y TIDAL. Block comenzó con una política interna orientada a clasificar y manejar datos sensibles, especialmente aquellos sujetos a regulaciones estrictas como PCI y los que contienen información personal identificable (PII). Sin embargo, con el tiempo, esta política comenzó a mostrar limitaciones debido a su complejidad y la dificultad que representaba para los equipos de ingeniería comprender y aplicar correctamente las diferentes normativas, lo que a menudo generaba confusión y retrasos en el desarrollo.
Inspirándose en el modelo de Niveles de Bioseguridad utilizado por los Centros para el Control y Prevención de Enfermedades (CDC) y la Organización Mundial de la Salud (OMS) para gestionar riesgos biológicos, Block visualizó una solución adaptable para la gestión del riesgo en el manejo de datos. Así nació el Marco de Niveles de Seguridad de Datos, un concepto que asigna niveles de sensibilidad y controles incrementales, permitiendo una protección ajustada a las necesidades específicas según el riesgo inherente de cada conjunto de datos. Un elemento clave de este marco es su enfoque en los conjuntos de datos completos y sus contextos, en lugar de evaluar solo elementos individuales. Por ejemplo, un número telefónico aislado puede tener un nivel de sensibilidad bajo, pero cuando se combina con una dirección precisa y un historial de transacciones, el nivel de riesgo y sensibilidad aumenta significativamente. Este enfoque holístico garantiza que los datos se clasifiquen y protejan con rigurosidad conforme a su verdadero nivel de riesgo.
En la práctica, el DSL se divide en cuatro niveles, desde DSL-1 para datos con menor sensibilidad hasta DSL-4 para información altamente confidencial. Cada nivel implica controles de seguridad específicos y progresivamente más estrictos, que incluyen desde control de acceso, cifrado avanzado, hasta mecanismos como la autorización multi-partidaria para evitar accesos no autorizados y garantizar la supervisión adecuada. Esta estructura ayuda a traducir la complejidad del manejo de datos en directrices claras y aplicables para los equipos de producto y seguridad en Block. Para alcanzar una clasificación adecuada, se aplican rúbricas detalladas que evalúan diferentes dominios de datos como información personal del consumidor, datos de tarjetas de pago o información financiera de comerciantes. Estas rúbricas estandarizan la evaluación de riesgos y garantizan consistencia en toda la organización.
Además, el marco no es solo un conjunto de reglas estáticas, sino que se integra con procesos automáticos y manuales que revisan constantemente la clasificación y cumplimiento de los estándares de seguridad. La automatización facilita la gestión a gran escala, mientras que las revisiones manuales aseguran una cobertura integral de requisitos regulatorios y particularidades específicas de ciertos datos. En la vida real, la efectividad del marco se ha evidenciado en varios casos concretos. Por ejemplo, en el procesamiento de datos de pago dentro de Cash App, donde la información como números de cuenta primaria y códigos de verificación están clasificados en el nivel más alto de sensibilidad, DSL-4. Para estos datos, Block implementa cifrado a nivel de aplicación y recurre a servicios de tokenización, como Fidelius, que garantiza la seguridad durante el almacenamiento y la transmisión, permitiendo que los sistemas descendentes procesen la información sin comprometer su seguridad.
De manera similar, en Cash App Investing, donde se manejan datos como números de seguridad social y patrones de negociación, se aplican controles estrictos que incluyen autenticación biométrica y acceso regulado para cumplir con normativas de la industria financiera, además de reforzar la confianza de los usuarios en la plataforma. Otro ejemplo relevante es la gestión de información fiscal en Cash App Taxes, donde el marco asegura que los datos extremadamente sensibles relacionados con declaraciones de impuestos reciben la máxima protección, incluyendo auditoría exhaustiva y controles de acceso rigidísimos para minimizar la posibilidad de exposición no autorizada. Este marco representa un esfuerzo colaborativo e interdisciplinario dentro de Block, involucrando a los equipos de seguridad, cumplimiento, gobierno y desarrollo de producto. Ha evolucionado desde su lanzamiento, incorporando retroalimentación continua, auditorías internas, y actualizaciones regulatorias, lo que ha llevado a la expansión y mejora constante de las rúbricas de clasificación y la implementación de medidas de protección. Mirando hacia el futuro, Block planea dar un paso decisivo hacia la transparencia y colaboración con la comunidad tecnológica y la industria en general.
La idea de abrir el marco DSL como proyecto de código abierto permitirá que otras organizaciones adopten y adapten estas prácticas, contribuyendo a un ecosistema más seguro y confiable para la gestión de datos sensibles en todo el mundo. La implementación del Marco de Niveles de Seguridad de Datos en Block es una demostración clara de cómo el enfoque estructurado, contextualizado y automatizado en la protección de datos puede no solo cumplir con las normativas más exigentes a nivel mundial, sino también generar un valor intangible pero crítico: la confianza del cliente. En una época donde las brechas de seguridad y violaciones de privacidad son constantes titulares, tener un sistema que entienda la complejidad y dinámica real de los datos y responda con controles ajustados y efectivamente implementados es una ventaja competitiva y una responsabilidad fundamental. En resumen, el Marco de Niveles de Seguridad de Datos representa la base para cómo Block entiende, maneja y protege la información. Su enfoque innovador, inspirado en metodologías biomédicas, su capacidad para integrar contexto y conjuntos de datos completos, y su despliegue mediante automatización y supervisión humana, establecen un nuevo estándar en la industria fintech.
Al continuar evolucionando y compartiendo sus aprendizajes, Block no solo protege sus propios productos y clientes, sino que también impulsa un movimiento hacia una gestión de datos más segura para toda la comunidad tecnológica global.
