Ochrana a zabezpečení dat

Proč je zabezpečení dat důležité a co to znamená ve společnosti Appy Pie?

V digitálním světě je bezpečnost dat velmi důležitá, a to nejen pro naše klienty, ale i pro jejich zákazníky. Zranitelnost dat v jakékoli fázi může mít vážné důsledky pro celý ekosystém.

Když si jako majitel firmy vyberete službu nebo platformu, na které budete nabízet své produkty a služby zákazníkům, vybíráte si v podstatě spojovací článek mezi vámi a zákazníky. Proto je důležité, aby platforma dodržovala optimální bezpečnostní standardy a měla správnou certifikaci, která zajistí ochranu všech citlivých údajů, které shromažďujete ze svých dat. Tyto údaje mohou zahrnovat e-mailové adresy, fyzické adresy, kontaktní čísla, platební údaje nebo jiné citlivé údaje.

Vůči svým zákazníkům nesete odpovědnost za to, že veškeré údaje, které vám v průběhu podnikání poskytnou, budou uchovávány v bezpečí, bude s nimi nakládáno eticky a nikdy nebudou nikomu poskytnuty bez jejich vědomí a souhlasu.

Ve společnosti Appy Pie přijímáme přísná bezpečnostní opatření a snažíme se zajistit, aby v našich procesech nebyly v žádné fázi žádné zranitelnosti. AppyPie.com vám pomáhá poskytovat zákazníkům zabezpečení a dodržování předpisů na podnikové úrovni při každé interakci.

Níže jsou uvedeny certifikace a opatření pro dodržování předpisů, která společnost AppyPie.com přijala, aby zajistila ochranu našich klientů a vašich zákazníků před jakýmikoliv bezohlednými aktivitami.

Soulad s PCI DSS

Platební brána používaná společností Appy Pie je v souladu s PCI DSS. Do roku 2019 jsme vstoupili s obavami a strachem ze zranitelnosti, narušení a úniků dat. Proto je bezpečnost stále aktuálním tématem a předmětem zájmu veřejnosti.

Společnost Appy Pie se stará o to, aby byly platební údaje jejích zákazníků vždy chráněny. Stripe, platební procesor společnosti Appy Pie, který splňuje požadavky PCI na vyúčtování, uchovává poštovní adresu zákazníka spolu s datem vypršení platnosti kreditní karty a CVV.

Vyplněním tohoto formuláře můžete zadat požadavek “Neprodávejte mé údaje”.

Atestace SOC 2

Naši klienti důvěřují naší platformě natolik, že nás nechávají zpracovávat své důležité procesy, jako je fakturace, vyúčtování a další, a my jim na oplátku zajišťujeme, že jejich zájmy a soukromí jejich zákazníků jsou ceněny a chráněny.

Atest SOC 2 zaručuje, že poskytovatelé služeb SaaS, jako je Appy Pie, spravují vaše data bezpečně, takže vaše zájmy a soukromí vašich klientů jsou vždy chráněny.

Soulad se SOC od Appy Pie je vhodný zejména pro podniky, které potřebují interně kontrolovat své finanční výkaznictví, a pro prezentaci dodavatelů, kteří zavedli interní kontroly, během auditů.

Vyplněním tohoto formuláře můžete zadat požadavek “Neprodávejte mé údaje”.

ISO 22301:2019

Společenská bezpečnost – Systémy řízení kontinuity činností – Požadavky, je norma systému řízení, která specifikuje požadavky na plánování, zavedení, implementaci, provoz, monitorování, přezkoumávání, udržování a neustálé zlepšování dokumentovaného systému řízení pro ochranu před rušivými událostmi, snížení pravděpodobnosti jejich výskytu, přípravu na ně, reakci na ně a obnovu po nich, když nastanou.

Jsme držiteli certifikátu ISO 22301:2019 a jsme připraveni zvládnout a zotavit se z jakéhokoli rušivého incidentu, pokud by k němu došlo.

  • Appy-Pie-LLPAppy-Pie-LLP

ISO 27001:2013

Certifikace ISO 27001 je certifikace systému řízení bezpečnosti informací (ISMS), což je v podstatě rámec zásad a postupů. Zahrnuje všechny právní, fyzické a technické kontroly související s procesem řízení informačních rizik v organizaci, jejichž cílem je zajistit bezpečnost informací.

Jsme držiteli certifikátu ISO 27001:2013 a zavázali jsme se k identifikaci rizik, hodnocení důsledků a zavádění systematizovaných kontrolních mechanismů, které vzbuzují důvěru ve vše, co děláme.

  • Appy-Pie-LLCAppy-Pie-LLC
  • ISO27001 Appy-Pie-LtdAppy-Pie-Ltd
  • ISO27001-LLPISO27001-LLP


Dobrovolná šablona přístupnosti výrobku (VPAT)

Společnost Appy Pie vytvořila dobrovolnou šablonu přístupnosti produktu (VPAT), která je v souladu se standardy sekce 508. Podrobně popisuje jednotlivé aspekty požadavků oddílu 508 a způsob, jakým podporujeme jednotlivá kritéria.

Náš VPAT obsahuje dokumentaci k oddílu 508 (2017 Refresh), Pokyny pro přístupnost webového obsahu (WCAG) 2.0 Kritéria úspěšnosti a požadavky na shodu (úrovně A, AA, AAA) a také evropské normy přístupnosti EN 301. Celou zprávu si můžete prohlédnout zde.

GDPR

Společnost Appy Pie dodržuje GDPR a zpracovává všechny osobní údaje v souladu s pokyny stanovenými tímto nařízením, které se vztahují na služby a platformu společnosti Appy Pie.

GDPR označuje nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES.

Vyplněním tohoto formuláře můžete zadat požadavek “Neprodávejte mé údaje”.

Mechanismus EU pro předávání údajů

GDPR se vztahuje především na správce a zpracovatele se sídlem v Evropském hospodářském prostoru (EHP), a pokud jsou osobní údaje předávány mimo EHP, hrozí ztráta ochrany GDPR. Z tohoto důvodu GDPR omezuje předávání osobních údajů mimo EHP, pokud nejsou nějakým způsobem chráněna práva osob. Donedávna existovaly dva způsoby, jak toho dosáhnout – štít EU-USA na ochranu soukromí a standardní smluvní doložky.

V nedávné době však Soudní dvůr Evropské unie zrušil platnost rámce štítu EU-USA na ochranu soukromí pro předávání údajů. Standardní smluvní doložky jsou však stále platné jako nástroj nebo mechanismus pro předávání údajů zpracovatelům mimo EU, Švýcarsko nebo Spojené království.

Ve společnosti Appy Pie máme zavedeny standardní smluvní doložky (SCC) pro předávání údajů, takže všechny osobní údaje jsou chráněny. Ve společnosti Appy Pie se zavazujeme umožnit našim zákazníkům poskytovat služby zákazníkům zodpovědně tím, že jako správce i zpracovatel údajů zavedeme a dodržujeme předepsané zásady dodržování předpisů.

CCPA

Kalifornský zákon o ochraně soukromí spotřebitelů je státní zákon, jehož cílem je posílit práva na soukromí a ochranu spotřebitelů v Kalifornii.

Společnost Appy Pie dodržuje CCPA a je transparentní ohledně všech osobních údajů, které od klientů prostřednictvím platformy shromažďuje. Chcete-li si přečíst zásady CCPA společnosti Appy Pie, klikněte zde.

Vyplněním tohoto formuláře můžete zadat požadavek “Neprodávejte mé údaje”.

Penetrační test, skenování zranitelnosti a záplatování

Ve společnosti Appy Pie běžně kontrolujeme a aplikujeme záplaty pro software/služby třetích stran. V případě objevení zranitelností aplikujeme opravy s nejvyšší prioritou. Každý měsíc se také provádí kontrola zranitelností pomocí služeb společnosti Amazon Inspector.

Společnost Appy Pie si nechala provést penetrační testování odborníky třetí strany – Bishop Fox a příslušnou zprávu lze získat zasláním e-mailu na adresu [email protected].

Fyzické a síťové zabezpečení

Společnost Appy Pie má své vývojové centrum v NSEZ, Noida (Indie) a prodejní / podpůrné kanceláře ve Warrentonu, Virginia (USA) a Londýně (Velká Británie) a Noidě (Indie). Kancelář je vybavena bezpečnostními kamerami a jejich záznam je pravidelně monitorován pověřenými pracovníky. Požární signalizace a vodní postřikovače jsou k dispozici pro detekci a zmírnění škod v případě, že by došlo k požáru. Kromě toho tým vedení areálu provádí pravidelná požární cvičení, aby zaměstnance seznámil s postupy při evakuaci v případě nouze. Kancelář je vybavena nepřetržitým napájením, které je podpořeno alternativním systémem nepřerušovaného napájení, aby bylo zajištěno bezproblémové fungování v případě výpadku proudu.

Všechny aplikace ve společnosti Appy Pie jsou vytvářeny a hostovány ve webových službách Amazon a infrastruktura databází a aplikačních serverů je spravována a udržována společností Amazon.

První vrstvu ochrany aplikace zajišťuje firewall AWS, který je vybaven proti pravidelným útokům DDoS a dalším narušením sítě. Druhou úroveň ochrany nabízí vlastní aplikační firewall Appy Pie, který monitoruje útočné IP adresy, uživatele a spam. Stojí za zmínku, že všechna hesla účtů uložená v aplikaci jsou jednosměrně hashována a solena.

Společnost Appy Pie používá k hostování všech svých aplikací datový model s více nájemci. Appy Pie poskytuje služby každé aplikaci prostřednictvím individuálního virtuálního privátního cloudu, přičemž každému zákazníkovi je přiděleno jedinečné ID nájemce. Aplikace je navržena a ověřena tak, aby bylo zajištěno, že budou načtena pouze data pro přihlášeného nájemce. Právě tento strategický návrh zajišťuje, že žádný zákazník nemá přístup k údajům jiného zákazníka. Přístup vývojového týmu k aplikaci je rovněž kontrolován, řízen a auditován. Při každém přístupu k aplikaci a infrastruktuře se vytvoří podrobný protokol, který se následně audituje.

Můžete se přijít podívat na naše fyzické pracoviště a prohlédnout si bezpečnostní opatření přijatá na místě, pokud si s námi domluvíte schůzku prostřednictvím e-mailu na adrese [email protected].

Administrativní operace

Jsme zodpovědná a respektovaná organizace, a proto velmi pečlivě dbáme na ochranu našich dat a bezpečnost dat našich klientů. Zaměstnanci organizace mají přístup do kanceláře pouze po autorizaci pomocí čipových karet a do citlivých oblastí kanceláře mají přístup pouze oprávnění pracovníci.

Ochrana před ztrátou dat

Jako opatření k zajištění optimální ochrany proti ztrátě dat používáme ve společnosti Appy Pie světovou špičku v oblasti ochrany proti ztrátě dat – Endpoint Protector od společnosti CoSoSys, který zabraňuje jakémukoli nevhodnému přenosu dat fyzickými nebo digitálními prostředky. To znamená, že data z firmy nelze zkopírovat na žádné jiné paměťové zařízení, ani je nelze odeslat e-mailem jako přílohu nebo jinou formou pomocí jejich výkonného zabezpečení.

Ukládání dat

Ochrana a zabezpečení dat zákazníků je pro Appy Pie vážnou záležitostí, a proto spravuje bezpečnost své aplikace a dat zákazníků s upřímností a odpovědností. Poskytování a správa přístupu k jednotlivým aplikacím vytvořeným pomocí platformy je však na uvážení jednotlivých vlastníků aplikací.

Vývojový tým společnosti Appy Pie nemá přístup k datům na produkčních serverech, nicméně veškeré změny v aplikaci, infrastruktuře, webovém obsahu a procesech nasazení jsou podrobně dokumentovány v rámci interního procesu řízení změn.

Naše platforma shromažďuje omezené informace o našich zákaznících, které zahrnují jejich jméno, e-mailovou adresu a telefon, a tyto údaje jsou uchovávány pouze pro vytvoření účtu. Stripe, platební procesor společnosti Appy Pie, který splňuje požadavky PCI na vyúčtování, uchovává poštovní adresu zákazníka spolu s datem vypršení platnosti kreditní karty a CVV.

Společnost Appy Pie bere integritu a ochranu dat zákazníků velmi vážně a uchovává dva druhy historie dat: protokoly aplikací ze systému a data aplikací a zákazníků. Všechna tato data jsou uložena v nejmodernější cloudové výpočetní platformě AWS společnosti Amazon a každých šest hodin jsou zálohována na několika místech.

Zálohy databáze jsou zálohovány denně a udržovány po dobu 35 dnů. Data zákazníků jsou zálohována dvěma způsoby:

  1. V případě výpadku systému v primárním datovém centru je v různých datových centrech udržována nepřetržitá záloha. Díky robustnímu zálohování by v případě nepravděpodobné katastrofy v některém z datových center naši zákazníci přišli o pouhých pět minut dat.

  2. Data jsou každý den zálohována do trvalého úložiště a uchovávána po dobu 15 dnů.

V Evropě a Spojených státech se k šifrování dat v klidovém stavu používá 256bitový standard AES (síla klíče 1024), přičemž klíče spravuje služba správy klíčů AWS. Pro všechny účty hostované na appypie.com se k šifrování všech přenášených dat používá šifrování podle standardu FIPS-140-2 prostřednictvím zabezpečeného socketového připojení. Kromě toho je pro účty hostované na nezávislých doménách k dispozici možnost, která umožňuje připojení pomocí zabezpečeného socketu.

Pro účely vývoje a testování se používají různá prostředí, je zaveden přísný systém řízení přístupu k systémům na základě potřeby/vědomosti podle klasifikace informací, kde je zavedeno rozdělení povinností a které se čtvrtletně přezkoumává.

Mobilní zabezpečení

V Appy Pie používáme řešení MAST (Mobile Application Security Testing) společnosti Kryptowire, abychom zajistili bezpečnost všech aplikací Appy Pie a ochranu dat všech uživatelů naší platformy.

Používáme Kryptowire k průběžnému vyhodnocování zabezpečení a ochrany soukromí jakéhokoli mobilního zařízení podle nejvyšších mezinárodně uznávaných standardů pro zajištění softwaru, které zveřejnila společnost
– Národní institut pro standardy a technologie (NIST)
– Národní partnerství pro zajištění bezpečnosti informací (NIAP)
– Projekt OWASP (Open Web Application Security Project)

Odstranění nebo redundance dat

Po vymazání účtu jsou všechna data s ním spojená do 14 pracovních dnů zničena. Pokud však chce majitel účtu zálohovat svá data, produkty Appy Pie nabízejí možnosti exportu dat.

Hlášení problémů a hrozeb

V případě, že se setkáte s jakýmikoli problémy, bezpečnostními incidenty (jako jsou narušení a potenciální zranitelnosti) nebo nedostatky, které by mohly mít vliv na bezpečnost údajů nebo soukromí uživatelů Appy Pie, obraťte se na nás a napište nám na adresu [email protected] s uvedením svých obav a podrobností, abychom na tom mohli co nejdříve začít pracovat.

Váš požadavek bude okamžitě prozkoumán, přičemž vás můžeme kontaktovat a požádat o vaše vedení při identifikaci nebo replikaci problému a určení prostředků nebo vypracování strategie k okamžitému vyřešení hrozby.

Společnost má zásady ochrany osobních údajů schválené interním právním poradcem, které jsou veřejně dostupné na adrese https://www.appypie.com/privacy-policy, a platební brána (Stripe), kterou Appy Pie používá, je v souladu s PCI.