Hvorfor datasikkerhed er afgørende, og hvad det betyder for Appy Pie?

I den digitale verden er vigtigheden af datasikkerhed afgørende, ikke kun for vores kunder, men også for deres kunder. Dataenes sårbarhed på ethvert tidspunkt kan få alvorlige konsekvenser for hele økosystemet.

Når du som virksomhedsejer vælger en tjeneste eller en platform til at tilbyde dine produkter og tjenester til dine kunder, vælger du i bund og grund forbindelsen mellem dig og kunderne. Derfor er det vigtigt, at platformen overholder optimale sikkerhedsstandarder og har den rette certificering til at beskytte alle de følsomme data, som du indsamler fra dine data. Disse data kan omfatte e-mailadresser, fysiske adresser, kontaktnumre, betalingsoplysninger eller andre følsomme data.

Du har et ansvar over for dine kunder for at sikre, at alle sådanne data, som de giver i forbindelse med forretningen, opbevares sikkert, håndteres etisk korrekt og aldrig deles med nogen uden deres viden eller samtykke.

Hos Appy Pie træffer vi strenge sikkerhedsforanstaltninger og er dedikerede til at sikre, at der ikke er nogen sårbarheder i vores processer på noget tidspunkt. AppyPie.com hjælper dig med at levere sikkerhed og overholdelse i virksomhedsklasse til dine kunder gennem hver eneste interaktion.

Nedenfor er anført de certificeringer og overensstemmelsesforanstaltninger, som AppyPie.com har truffet for at sikre, at vores klienter og dine kunder er beskyttet mod skruppelløse aktiviteter.

Overholdelse af PCI DSS

Den betalingsgateway, som Appy Pie bruger, er PCI DSS-kompatibel. Vi er gået ind i 2019 med bekymring og bange anelser om datasårbarhed, brud og lækager. Det er derfor, at sikkerhed fortsat er et varmt emne og et spørgsmål, der optager offentligheden.

Appy Pie sørger selv for at sikre, at deres kunders betalingsoplysninger altid er beskyttet. Stripe, Appy Pie’s PCI-kompatible betalingsprocessor til faktureringsanmodninger, gemmer kundernes postadresse sammen med kreditkortets udløbsdato og CVV.

Du kan anmode om at få en anmodning om ikke at sælge mine data ved at udfylde denne formular.

SOC 2-attestering

Vores kunder stoler nok på vores platform til at lade os håndtere deres kritiske processer som fakturering, fakturering og meget mere, og til gengæld forsikrer vi dem om, at deres interesser og deres kunders privatliv bliver værdsat og beskyttet.

SOC 2-attesteringen sikrer, at SaaS-tjenesteudbydere som Appy Pie håndterer dine data sikkert, så dine interesser og dine kunders privatlivets fred altid er beskyttet.

Appy Pie’s SOC-overholdelse er særligt velegnet til virksomheder, der har brug for at kontrollere deres finansielle rapportering internt, og til at fremvise de leverandører, der har implementeret interne kontroller under revisioner.

Du kan anmode om at få en anmodning om ikke at sælge mine data ved at udfylde denne formular.

ISO 22301:2019

Samfundssikkerhed – Ledelsessystemer til sikring af virksomhedskontinuitet – Krav er en ledelsessystemstandard, der specificerer krav til planlægning, etablering, implementering, drift, overvågning, revision, vedligeholdelse og løbende forbedring af et dokumenteret ledelsessystem til beskyttelse mod, reduktion af sandsynligheden for forekomst, forberedelse på, reaktion på og genopretning af forstyrrende hændelser, når de opstår.

Vi er ISO 22301:2019-certificeret og er forberedt på at håndtere og genoprette enhver forstyrrende hændelse, hvis en sådan skulle opstå.

ISO 27001:2013

ISO 27001-certificering er en certificering af et informationssikkerhedsstyringssystem (ISMS) – som i bund og grund er en ramme af politikker og procedurer. Den omfatter alle de juridiske, fysiske og tekniske kontroller i forbindelse med en organisations informationsrisikostyringsproces, der har til formål at sikre informationerne.

Vi er ISO 27001:2013-certificeret og er forpligtet til at identificere risici, vurdere konsekvenser og indføre systematiserede kontroller, der skaber tillid til alt det, vi gør.

Frivillig skabelon for produkttilgængelighed (VPAT)

Appy Pie har oprettet en frivillig produkttilgængelighedsskabelon (Voluntary Product Accessibility Template – VPAT), som er i overensstemmelse med Section 508-standarderne. Den beskriver hvert aspekt af kravene i Section 508 og beskriver, hvordan vi understøtter hvert kriterium.

Vores VPAT indeholder dokumentation om Section 508 (2017 Refresh), Web Content Accessibility Guidelines (WCAG) 2.0 Success Criteria & Conformance Requirements (Niveau A, AA, AAA) samt de europæiske tilgængelighedsstandarder EN 301. Du kan se hele rapporten her.

GDPR

Appy Pie overholder GDPR og behandler alle personoplysninger i overensstemmelse med de retningslinjer, der er fastsat i forordningen, og som gælder for Appy Pie’s tjenester og platformen.

GDPR henviser til Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF.

Du kan anmode om at få en anmodning om ikke at sælge mine data ved at udfylde denne formular.

EU’s mekanisme til overførsel af data

GDPR gælder primært for dataansvarlige og databehandlere, der er placeret i Det Europæiske Økonomiske Samarbejdsområde eller EØS, og hvis personoplysningerne overføres ud af EØS, er der risiko for at miste GDPR-beskyttelsen. Det er derfor, at GDPR begrænser overførslen af personoplysninger uden for EØS, medmindre personernes rettigheder er beskyttet på en eller anden måde. Indtil for nylig var der to måder at gøre dette på – EU-US Privacy Shield og standardkontraktbestemmelser.

For nylig har EU-Domstolen imidlertid erklæret EU’s Privacy Shield-rammen for overførsel af data mellem EU og USA ugyldig. Standardkontraktklausuler er dog stadig gyldige som et værktøj eller en mekanisme for dataoverførsel til databehandlere uden for EU, Schweiz eller Det Forenede Kongerige.

Hos Appy Pie har vi standardkontraktbestemmelser (SCC’er) for overførsel af data, så alle personlige data er beskyttet. Hos Appy Pie er vi forpligtet til at gøre det muligt for vores kunder at yde kundeservice på ansvarlig vis ved at implementere og overholde de foreskrevne politikker for overholdelse af reglerne, både som dataansvarlig og databehandler.

CCPA

California Consumer Privacy Act er en statslig lov, der har til formål at forbedre privatlivets fred og forbrugerbeskyttelsen for indbyggerne i Californien.

Appy Pie overholder CCPA og er gennemsigtig med hensyn til alle personlige data, der indsamles fra kunderne via platformen. Du kan læse Appy Pie’s CCPA-politik ved at klikke her.

Du kan anmode om at få en anmodning om ikke at sælge mine data ved at udfylde denne formular.

Penetrationstest, sårbarhedsscanning og patching

Som en praksis kontrollerer og anvender vi hos Appy Pie patches for software/tjenester fra tredjeparter. Hvis der nogensinde bliver opdaget sårbarheder, anvender vi rettelserne med højeste prioritet. Der foretages også en sårbarhedsscanning hver måned ved hjælp af Amazon Inspector.

Appy Pie har fået udført penetrationstest af tredjepartseksperter – Bishop Fox – og den relevante rapport kan fås ved at sende en e-mail til [email protected]

Fysisk sikkerhed og netværkssikkerhed

Appy Pie har sit udviklingscenter i NSEZ, Noida (Indien), og salgs- og supportkontorer i Warrenton, Virginia (USA), London (Storbritannien) og Noida (Indien). Kontoret er udstyret med overvågningskameraer, og deres optagelser overvåges regelmæssigt af autoriseret personale. Der er brandalarmer og sprinkleranlæg til at opdage og begrænse skaderne i det usandsynlige tilfælde af en brand. Derudover afholder lokalitetsledelsen regelmæssigt brandøvelser for at undervise medarbejderne i procedurerne for nødevakuering. Kontoret er udstyret med 24×7 strømforsyning, der understøttes af et alternativt system til uafbrudt strømforsyning for at sikre en problemfri drift i tilfælde af strømsvigt.

Alle apps hos Appy Pie oprettes og hostes på Amazon Web Services, og infrastrukturen til databaser og applikationsservere forvaltes og vedligeholdes af Amazon.

Det første beskyttelseslag for applikationen leveres af AWS’ firewall, som er udstyret til at imødegå regelmæssige DDoS-angreb og andre netværksrelaterede indbrud. Det andet beskyttelseslag er Appy Pie’s egen programfirewall, som overvåger ulovlige IP’er, brugere og spam. Det er værd at bemærke, at alle adgangskoder til konti, der gemmes i programmet, er envejs hashede og saltede.

Appy Pie bruger en datamodel med flere lejere til at hoste alle sine applikationer. Det er gennem en individuel virtuel privat sky, at Appy Pie servicerer hver enkelt applikation, hvor der tildeles et unikt lejligheds-id til hver enkelt kunde. Applikationen er udviklet og verificeret for at sikre, at kun dataene for den lejer, der er logget ind, kan hentes. Det er dette strategiske design, der sikrer, at ingen kunde kan få adgang til en anden kundes data. Applikationsudviklingsteamets adgang til applikationen kontrolleres, styres og revideres også. Hver gang der er adgang til applikationen og infrastrukturen, oprettes der en detaljeret log, som efterfølgende revideres.

Du er velkommen til at komme til vores fysiske lokaler og undersøge de sikkerhedsforanstaltninger, der er truffet på stedet, ved at aftale en tid med os via e-mail på [email protected].

Administrative operationer

Som en ansvarlig og respekteret organisation er vi ekstremt opmærksomme på at beskytte vores data og holde vores kunders data sikre. Organisationens medarbejdere får kun adgang til kontoret efter godkendelse ved hjælp af smart cards, og de følsomme områder på kontoret kan kun tilgås af autoriseret personale.

Beskyttelse mod tab af data

Som en foranstaltning til at yde optimal beskyttelse mod datatab bruger vi hos Appy Pie verdens førende inden for beskyttelse mod datatab – Endpoint Protector fra CoSoSys, som forhindrer enhver uhensigtsmæssig overførsel af data via fysiske eller digitale midler. Det betyder, at data fra virksomheden ikke kan kopieres til andre masselagringsenheder, og at de heller ikke kan sendes via e-mail som vedhæftede filer eller på anden måde ved hjælp af deres effektive sikkerhed.

Opbevaring af data

Beskyttelse og sikkerhed af kundernes data er et alvorligt anliggende for Appy Pie, og derfor håndterer de sikkerheden af deres applikation og kundernes data med oprigtighed og ansvarlighed. Det er dog op til de enkelte app-ejere at tilvejebringe og administrere adgangen til individuelle apps, der er oprettet ved hjælp af platformen.

Udviklingsteamet hos Appy Pie har ikke adgang til data på produktionsservere, men alle ændringer af applikationen, infrastrukturen, webindholdet og implementeringsprocesserne dokumenteres udførligt som en del af en intern ændringskontrolproces.

Vores platform indsamler begrænsede oplysninger om vores kunder, herunder deres navn, e-mailadresse og telefon, og disse oplysninger opbevares kun i forbindelse med oprettelse af en konto. Stripe, Appy Pie’s PCI-kompatible betalingsprocessor til faktureringsanmodninger, gemmer kundernes postadresse sammen med kreditkortets udløbsdato og CVV.

Appy Pie tager integriteten og beskyttelsen af kundernes data meget alvorligt og opretholder to slags datahistorik: applikationslogfiler fra systemet og applikations- og kundedata. Alle disse data er gemt i Amazons avancerede cloud computing-platform AWS, og der tages sikkerhedskopier hver sjette time flere steder.

Der tages sikkerhedskopier af databasen dagligt og opbevares i 35 dage. Der tages backup af kundernes data på to måder:

Der opretholdes en kontinuerlig backup i forskellige datacentre i tilfælde af systemfejl i det primære datacenter. Det skyldes den robuste backup, at i tilfælde af en usandsynlig katastrofe i et af datacentrene vil vores kunder kun miste fem minutters data i fem minutter.
Der tages backup af data til vedvarende lagring hver dag, og de opbevares i 15 dage.

I Europa og USA bruges AES 256bit-standarder (nøglestyrke – 1024) til at kryptere dataene i hvile, og AWS Key Management Service administrerer nøglerne. FIPS-140-2 standardkryptering over en sikker socket-forbindelse bruges til at kryptere alle data i transit for alle konti, der er hostet på appypie.com. Desuden er der en mulighed for konti, der er hostet på uafhængige domæner, som muliggør en sikker socket-forbindelse.

Der anvendes forskellige miljøer til udvikling og afprøvning, og der er indført et strengt forvaltningssystem for adgang til systemer på grundlag af behov for at gøre/kende i overensstemmelse med informationsklassificeringen, hvor adskillelse af opgaver er indbygget og gennemgås hvert kvartal.

Mobil sikkerhed

Som praksis bruger vi hos Appy Pie Kryptowires løsning Mobile Application Security Testing (MAST) til at gøre alle Appy Pie-apps sikre og sikre databeskyttelse for alle vores platformbrugere.

Vi bruger Kryptowire til løbende at vurdere sikkerheden og privatlivets fred på enhver mobilenhed i forhold til de højeste internationalt anerkendte standarder for softwaresikkerhed, der er offentliggjort af
– Det nationale institut for standarder og teknologi (NIST)
– Nationalt partnerskab for informationssikkerhed (NIAP)
– Open Web Application Security Project (OWASP)

Sletning eller redundans af data

Når en konto slettes, destrueres alle data, der er knyttet til den, inden for 14 arbejdsdage. Hvis en kontohaver imidlertid ønsker at tage backup af sine data, tilbyder Appy Pie-produkterne muligheder for dataeksport.

Rapportering af problemer og trusler

Hvis du støder på problemer, sikkerhedshændelser (som brud og potentielle sårbarheder) eller fejl, der kan påvirke Appy Pie-brugernes datasikkerhed eller privatlivets fred, bedes du kontakte os og skrive til [email protected] med angivelse af dine bekymringer og oplysninger, så vi kan arbejde på det hurtigst muligt.

Din anmodning vil blive undersøgt med det samme, og vi vil måske kontakte dig og bede om din hjælp til at identificere eller replikere problemet og finde ud af, hvordan vi kan løse truslen med det samme eller udtænke strategier til at løse den.

Virksomheden har en privatlivspolitik, der er godkendt af en intern juridisk rådgiver, og som er offentlig tilgængelig på https://www.appypie.com/privacy-policy, og den betalingsgateway (Stripe), som Appy Pie anvender, er PCI-kompatibel.