הגנת נתונים ואבטחת מידע

מדוע אבטחת נתונים היא קריטית ומה זה אומר ב-Appy Pie?

בעולם הדיגיטלי החשיבות של אבטחת מידע היא קריטית, לא רק עבור הלקוחות שלנו, אלא גם עבור הלקוחות שלהם. פגיעויות הנתונים בכל שלב עלולות להביא לתוצאות חמורות על המערכת האקולוגית כולה.

כבעל עסק, כשאתה בוחר שירות או פלטפורמה להציע את המוצרים והשירותים שלך ללקוחות שלך, אתה בעצם בוחר את הקישור בינך לבין הלקוחות. זו הסיבה שחשוב שהפלטפורמה תעמוד בתקני אבטחה מיטביים ותהיה לה את ההסמכה הנכונה לספק הגנה לכל הנתונים הרגישים שאתה אוסף מהנתונים שלך. נתונים אלה עשויים לכלול את כתובות האימייל, הכתובות הפיזיות, מספרי הקשר, פרטי התשלום או כל מידע רגיש אחר כזה.

יש לך אחריות כלפי הלקוחות שלך שכל מידע כזה שהם מספקים במהלך העסקים יישמר בטוח, יטופל בצורה אתית ולעולם לא ישותף עם אף אחד ללא ידיעתו או הסכמתו.

ב-Appy Pie, אנו נוקטים באמצעי אבטחה מחמירים ומחויבים לוודא שאין נקודות תורפה בתהליכים שלנו בשום שלב. AppyPie.com עוזר לך לספק אבטחה ותאימות ברמה ארגונית ללקוחות שלך בכל אינטראקציה.

להלן האישורים ואמצעי התאימות שננקטו על ידי AppyPie.com כדי להבטיח שהלקוחות שלנו והלקוחות שלך מוגנים מכל פעילות חסרת מצפון.

תאימות PCI DSS

שער התשלום המשמש את Appy Pie תואם PCI DSS. נכנסנו לשנת 2019 עם דאגה וחשש לגבי פגיעות נתונים, הפרות והדלפות. זו הסיבה שאבטחה ממשיכה להיות נושא חם ועניין לציבור.

Appy Pie לוקח על עצמם לוודא שפרטי התשלום של הלקוח שלהם מוגנים בכל עת. Stripe, מעבד התשלומים תואם PCI של Appy Pie עבור בקשות חיוב ושומר את כתובת הדואר של הלקוחות, יחד עם תאריך התפוגה של כרטיס האשראי וה-CVV.

אתה יכול להגיש בקשה ‘אל תמכור את הנתונים שלי’ על ידי מילוי טופס זה .

אישור SOC 2

הלקוחות שלנו סומכים על הפלטפורמה שלנו מספיק כדי לאפשר לנו לטפל בתהליכים הקריטיים שלהם כמו חיוב, חשבונית ועוד, ובתמורה אנחנו מבטיחים להם שהאינטרסים שלהם ופרטיות הלקוחות שלהם מוערכים ומוגנים.

אישור SOC 2 מבטיח שספקי שירותי SaaS כמו Appy Pie ינהלו את הנתונים שלך בצורה מאובטחת כך שהאינטרס שלך ופרטיות הלקוחות שלך יהיו מוגנים תמיד.

תאימות SOC של Appy Pie מתאימה במיוחד לעסקים שצריכים לשלוט בדיווח הכספי שלהם באופן פנימי, ולהציג את הספקים שהפעילו בקרות פנימיות במהלך ביקורת.

אתה יכול להגיש בקשה ‘אל תמכור את הנתונים שלי’ על ידי מילוי טופס זה .

ISO 22301:2019

אבטחה חברתית – מערכות ניהול המשכיות עסקית – דרישות, הוא תקן מערכת ניהול המפרט דרישות לתכנון, הקמת, יישום, תפעול, ניטור, סקירה, תחזוקה ושיפור מתמיד של מערכת ניהול מתועדת כדי להגן מפני, להפחית את הסבירות להתרחשות, הכנה עבור, להגיב ולהתאושש מתקריות משבשות כשהן מתעוררות.

אנו מוסמכים לתקן ISO 22301:2019 ומוכנים לטפל ולהתאושש מכל אירוע מפריע, אם יתעורר.

  • Appy-Pie-LLPAppy-Pie-LLP

ISO 27001:2013

הסמכת ISO 27001 היא הסמכה למערכת ניהול אבטחת מידע (ISMS) – שהיא בעצם מסגרת של מדיניות ונהלים. הוא כולל את כל הבקרות המשפטיות, הפיזיות והטכניות הקשורות לתהליך ניהול סיכוני המידע של ארגון שמטרתו לשמור על אבטחת המידע.

אנו מוסמכים לתקן ISO 27001:2013 ומחויבים לזיהוי סיכונים, הערכת השלכות ולהקים בקרות מערכתיות המעוררות אמון בכל מה שאנו עושים.

  • Appy-Pie-LLCAppy-Pie-LLC
  • ISO27001 Appy-Pie-LtdAppy-Pie-Ltd
  • ISO27001-LLPISO27001-LLP


תבנית נגישות מוצר מרצון (VPAT)

Appy Pie יצרה תבנית נגישות למוצר מרצון (VPAT) אשר עומדת בתקני סעיף 508. הוא מפרט כל היבט של דרישות סעיף 508 וכיצד אנו תומכים בכל קריטריון.

ה-VPAT שלנו מכיל תיעוד על סעיף 508 (רענון 2017), הנחיות נגישות לתוכן אינטרנט (WCAG) 2.0 קריטריוני הצלחה ודרישות התאמה (רמות A, AA, AAA) וכן תקני הנגישות האירופיים EN 301. אתה יכול לצפות בדוח כולו כאן .

GDPR

Appy Pie עומדת ב-GDPR ומעבדת את כל הנתונים האישיים בהתאם להנחיות שנקבעו בתקנה החלות על השירותים והפלטפורמה של Appy Pie.

GDPR מתייחס לתקנה (EU) 2016/679 של הפרלמנט האירופי והמועצה מה-27 באפריל 2016 בדבר הגנת אנשים טבעיים בכל הנוגע לעיבוד נתונים אישיים ולגבי התנועה החופשית של נתונים כאלה, וביטול הוראה 95 /46/EC.

אתה יכול להגיש בקשה ‘אל תמכור את הנתונים שלי’ על ידי מילוי טופס זה .

מנגנון העברת נתונים של האיחוד האירופי

GDPR חל בעיקר על בקרים ומעבדים הנמצאים באזור הכלכלי האירופי או EEA ואם הנתונים האישיים מועברים מחוץ ל-EEA, קיים סיכון לאובדן הגנת ה-GDPR. מסיבה זו ה-GDPR מגביל את העברת הנתונים האישיים מחוץ ל-EEA, אלא אם זכויותיהם של האנשים מוגנות בדרך כלשהי. עד לאחרונה היו שתי דרכים לעשות זאת – מגן הפרטיות של האיחוד האירופי-ארה”ב וסעיפים חוזיים סטנדרטיים.

עם זאת, בהתפתחות לאחרונה, בית המשפט לצדק של האיחוד האירופי פסל את מסגרת מגן הפרטיות של האיחוד האירופי-ארה”ב להעברת נתונים. עם זאת, סעיפים חוזיים סטנדרטיים עדיין תקפים ככלי או מנגנון להעברת נתונים למעבדים מחוץ לאיחוד האירופי, שוויץ או בריטניה.

ב-Appy Pie, יש לנו סעיפים חוזיים סטנדרטיים (SCCs) להעברת נתונים כך שכל הנתונים האישיים מוגנים. אנו, ב-Appy Pie, מחויבים לאפשר ללקוחותינו לספק שירות לקוחות באחריות על ידי יישום ועמידה במדיניות הציות שנקבעה, הן כבקר נתונים והן כמעבד.

CCPA

חוק פרטיות הצרכן של קליפורניה הוא חוק מדינה שמטרתו להגביר את זכויות הפרטיות והגנת הצרכן עבור תושבי קליפורניה.

Appy Pie עומד בדרישות CCPA והיא שקופה לגבי כל או כל הנתונים האישיים שנאספים מהלקוחות דרך הפלטפורמה. לקריאת מדיניות ה-CCPA של Appy Pie, אנא לחץ כאן .

אתה יכול להגיש בקשה ‘אל תמכור את הנתונים שלי’ על ידי מילוי טופס זה .

בדיקת חדירה, סריקה ותיקון פגיעות

כתרגול, אנו, ב-Appy Pie, בודקים ומיישמים תיקונים עבור תוכנות/שירותים של צד שלישי. במקרה שמתגלים אי פעם נקודות תורפה, אנו מיישמים את התיקונים בעדיפות הגבוהה ביותר. כמו כן, סריקת פגיעות מתבצעת מדי חודש באמצעות שירותי Amazon Inspector.

Appy Pie קיבלה את בדיקות החדירה על ידי מומחי צד שלישי – בישוף פוקס ואת הדו”ח הרלוונטי ניתן לקבל על ידי שליחת אימייל לכתובת [email protected]

אבטחה פיזית ורשת

ל-Appy Pie יש את מרכז הפיתוח שלה ב-NSEZ, נוידה (הודו), ומשרדי מכירות/תמיכה בוורנטון, וירג’יניה (ארה”ב) ולונדון (בריטניה) ונואידה (הודו). המשרד מצויד במצלמות מעקב וצילומיהן מנוטרים מעת לעת על ידי גורמים מוסמכים. אזעקות אש ומתזי מים קיימים כדי לזהות ולצמצם נזקים במקרה בלתי סביר של שריפה. בנוסף, נערכים תרגילי כיבוי שוטפים על ידי צוות הנהלת המקום כדי לחנך את העובדים על נהלי פינוי חירום. המשרד מצויד באספקת חשמל 24×7, הנתמכת על ידי מערכת אספקת חשמל רציפה חלופית כדי להבטיח תפקוד חלק במקרה של הפסקת חשמל.

כל האפליקציות ב-Appy Pie נוצרות ומתארחות בשירותי האינטרנט של אמזון והתשתית לבסיסי נתונים ושרתי יישומים מנוהלת ומתוחזקת על ידי אמזון.

שכבת ההגנה הראשונה עבור האפליקציה מסופקת על ידי חומת האש של AWS המצוידת למניעת התקפות DDoS רגילות ופריצות אחרות הקשורות לרשת. שכבת ההגנה השנייה מוצעת על ידי חומת האש של האפליקציה של Appy Pie שמנטרת כתובות IP פוגעניות, משתמשים וספאם. ראוי לציין שכל סיסמאות החשבון המאוחסנות באפליקציה הן גיבוב ומלח בכיוון אחד.

Appy Pie משתמש במודל נתונים מרובה דיירים כדי לארח את כל היישומים שלה. באמצעות ענן פרטי וירטואלי אינדיבידואלי, Appy Pie נותנת שירות לכל אפליקציה, כאשר מזהה דייר ייחודי מוקצה לכל לקוח. האפליקציה מתוכננת ומאומתת כדי להבטיח שניתן להביא רק את הנתונים של הדייר המחובר. העיצוב האסטרטגי הזה הוא שמבטיח שאף לקוח לא יוכל לגשת לנתונים של לקוח אחר. הגישה לאפליקציה על ידי צוות פיתוח האפליקציות גם מבוקרת, מנוהלת ומבוקרת. בכל פעם שניגשים לאפליקציה ולתשתית, נוצר יומן מפורט אשר נבדק לאחר מכן.

הנכם מוזמנים להגיע למיקומנו הפיזי ולבחון את אמצעי האבטחה הננקטים באתר באמצעות קביעת פגישה איתנו באמצעות המייל [email protected].

פעולות אדמיניסטרטיביות

בהיותנו ארגון אחראי ומכובד, אנו ערניים ביותר לגבי הגנה על הנתונים שלנו ושמירה על אבטחת הנתונים של לקוחותינו. לעובדי הארגון ניתנת גישה למשרד רק לאחר אישור באמצעות כרטיסים חכמים והגישה לאזורים הרגישים במשרד ניתנת לגישה רק לגורמים מורשים.

הגנה על אובדן נתונים

כאמצעי לספק הגנה אופטימלית לאובדן נתונים, אנו ב-Appy Pie משתמשים במובילה העולמית בהגנה על אובדן נתונים – Endpoint Protector של CoSoSys המונע כל שידור לא הולם של נתונים באמצעים פיזיים או דיגיטליים. זה אומר שלא ניתן להעתיק את הנתונים מהחברה לכל מכשיר אחסון המוני אחר, וגם לא ניתן לשלוח אותם באמצעות דואר אלקטרוני כקובץ מצורף או כל טופס אחר באמצעות האבטחה העוצמתית שלהם.

אחסון נתונים

ההגנה והאבטחה של נתוני הלקוחות היא עניין רציני עבור Appy Pie, ומכאן שהם מנהלים את אבטחת האפליקציה שלה ונתוני הלקוחות בכנות ואחריות. עם זאת, הקצאה וניהול גישה של אפליקציות בודדות שנוצרו באמצעות הפלטפורמה נתון לשיקול דעת של בעלי אפליקציות בודדים.

לצוות הפיתוח ב-Appy Pie אין גישה לנתונים בשרתי ייצור, אולם כל שינוי באפליקציה, בתשתית, בתוכן האינטרנט ובתהליכי הפריסה מתועדים בהרחבה כחלק מתהליך בקרת שינויים פנימיים.

הפלטפורמה שלנו אוספת מידע מוגבל על הלקוחות שלנו הכולל את שמם, כתובת האימייל והטלפון שלהם ופרטים אלו נשמרים רק ליצירת חשבון. Stripe, מעבד התשלומים תואם PCI של Appy Pie עבור בקשות חיוב ושומר את כתובת הדואר של הלקוחות, יחד עם תאריך התפוגה של כרטיס האשראי וה-CVV.

Appy Pie לוקח את השלמות וההגנה על נתוני הלקוחות ברצינות רבה ושומר על שני סוגים של היסטוריית נתונים: יומני יישומים מהמערכת, ונתוני יישומים ולקוחות. כל הנתונים האלה מאוחסנים בפלטפורמת מחשוב הענן המתקדמת של אמזון, AWS וגיבויים נלקחים כל שש שעות במספר מיקומים.

גיבויים של מסדי נתונים מגובים מדי יום ומתוחזקים למשך 35 ימים. נתוני הלקוחות מגובים בשתי דרכים:

  1. גיבוי רציף נשמר במרכזי נתונים שונים במקרה של כשל במערכת במרכז הנתונים הראשי. זה בגלל הגיבוי החזק, שבמקרה של קטסטרופה לא סבירה בכל אחד ממרכזי הנתונים, הלקוחות שלנו יאבדו רק חמש דקות של נתונים.

  2. הנתונים מגובים לאחסון קבוע מדי יום ונשמרים למשך 15 ימים.

באירופה ובארצות הברית, נעשה שימוש בתקני AES 256bit (חוזק מפתח – 1024) להצפנת הנתונים במצב מנוחה, כאשר שירות ניהול המפתחות של AWS מנהל את המפתחות. הצפנה סטנדרטית FIPS-140-2 דרך חיבור שקע מאובטח, משמשת להצפנת כל הנתונים במעבר, עבור כל החשבונות המתארחים ב-appypie.com. יתר על כן, קיימת אפשרות זמינה עבור החשבונות המתארחים בדומיינים עצמאיים, המאפשרת חיבור שקע מאובטח.

נעשה שימוש בסביבות מגוונות למטרות פיתוח ובדיקות, מערכת ניהול קפדנית לגישה למערכות קיימת על בסיס צורך לעשות/לדעת לפי סיווג המידע, כאשר הפרדת התפקידים מובנית, ונבדקת ב- על בסיס רבעוני.

אבטחה ניידת

כפרקטיקה, אנו ב-Appy Pie משתמשים בפתרון Mobile Application Security Testing (MAST) של Kryptowire כדי להפוך את כל האפליקציות של Appy Pie לאבטחות ולהבטיח פרטיות נתונים לכל משתמשי הפלטפורמה שלנו.

אנו משתמשים ב-Kryptowire כדי להעריך באופן רציף את האבטחה והפרטיות של כל מכשיר נייד מול תקני אבטחת התוכנה המוכרים הבינלאומיים הגבוהים ביותר שפורסמו על ידי
– המכון הלאומי לתקנים וטכנולוגיות (NIST)
– שותפות אבטחת מידע לאומית (NIAP)
– Open Application Security Project (OWASP)

מחיקת נתונים או יתירות

עם מחיקת חשבון, כל הנתונים הקשורים אליו מושמדים תוך 14 ימי עסקים. עם זאת, אם בעל חשבון מעוניין בגיבוי של הנתונים שלו, מוצרי Appy Pie מציעים אפשרויות ייצוא נתונים.

דיווח על בעיות ואיומים

במקרה שאתה נתקל בבעיות, אירועי אבטחה (כגון הפרות ופגיעויות אפשריות) או פגמים שעלולים להשפיע על אבטחת הנתונים או הפרטיות של משתמשי Appy Pie, אנא פנה אלינו וכתוב אל [email protected] תוך ציון שלך חששות ופרטים, כדי שנוכל לעבוד על זה בהקדם.

בקשתך תיבדק באופן מיידי, שם אנו עשויים לפנות אליך ולבקש את הדרכה שלך בזיהוי או שכפול הבעיה ובקביעת אמצעים או תכנון אסטרטגיות לפתרון האיום באופן מיידי.

לחברה יש מדיניות פרטיות, שאושרה על ידי יועץ משפטי פנימי, זמינה בפומבי בכתובת https://www.appypie.com/privacy-policy ושער התשלום (Stripe) המשמש את Appy Pie תואם PCI.