Adatvédelem és adatbiztonság

Miért kritikus az adatbiztonság és mit jelent ez az Appy Pie-nál?

A digitális világban az adatbiztonság fontossága kritikus, nemcsak ügyfeleink, hanem ügyfeleik számára is. Az adatok sérülékenysége bármelyik szakaszban súlyos következményekkel járhat az egész ökoszisztémára nézve.

Üzlettulajdonosként, amikor egy szolgáltatást vagy egy platformot választ, hogy termékeit és szolgáltatásait az ügyfeleinek kínálja, lényegében az Ön és az ügyfelek közötti kapcsolatot választja. Ezért fontos, hogy a platform optimális biztonsági szabványokat tartson be, és megfelelő tanúsítvánnyal rendelkezzen, hogy védelmet nyújtson az összes olyan érzékeny adatnak, amelyet az Ön adataiból gyűjt. Ezek az adatok magukban foglalhatják az e-mail címeket, fizikai címeket, kapcsolattartási számokat, fizetési információkat vagy más hasonló érzékeny adatokat.

Ön felelős az ügyfeleivel szemben azért, hogy az üzleti tevékenység során megadott ilyen adatokat biztonságban tartsa, etikusan kezelje, és soha ne ossza meg senkivel a tudta vagy beleegyezése nélkül.

Az Appy Pie-nél szigorú biztonsági intézkedéseket teszünk, és elkötelezettek vagyunk annak biztosítása mellett, hogy folyamatainkban egyetlen szakaszban se legyenek sebezhető pontok. Az AppyPie.com segít Önnek abban, hogy minden interakció során vállalati szintű biztonságot és megfelelőséget nyújtson ügyfeleinek.

Az alábbiakban felsoroljuk az AppyPie.com által hozott tanúsítványokat és megfelelőségi intézkedéseket, amelyek biztosítják, hogy ügyfeleink és az Ön ügyfelei védve legyenek a gátlástalan tevékenységektől.

PCI DSS megfelelés

Az Appy Pie által használt fizetési átjáró PCI DSS-kompatibilis. Az adatok sebezhetősége, a jogsértések és a kiszivárgások miatti aggodalommal és félelemmel léptünk be a 2019-es évbe. Ezért a biztonság továbbra is forró téma és közérdeklődésre tart számot.

Az Appy Pie magára vállalja, hogy ügyfelei fizetési adatait mindenkor védi. A Stripe, az Appy Pie PCI-kompatibilis fizetési processzora a számlázási kérelmekhez és megtartja az ügyfelek postacímét, valamint a hitelkártya lejárati dátumát és a CVV-t.

Az alábbi űrlap kitöltésével kérheti, hogy ne adják el az adataimat.

SOC 2 tanúsítás

Ügyfeleink eléggé megbíznak platformunkban ahhoz, hogy ránk bízzák kritikus folyamataik, például a számlázás, a számlázás és egyéb folyamatok kezelését, cserébe pedig biztosítjuk őket arról, hogy érdekeiket és ügyfeleik adatvédelmét értékeljük és védjük.

A SOC 2 tanúsítás biztosítja, hogy az olyan SaaS-szolgáltatók, mint az Appy Pie, biztonságosan kezelik az adatokat, így az Ön és ügyfelei érdekei mindig védve vannak.

Az Appy Pie SOC-megfelelőség különösen alkalmas olyan vállalkozások számára, amelyeknek belsőleg kell ellenőrizniük pénzügyi beszámolójukat, és az ellenőrzések során be kell mutatniuk a belső ellenőrzéseket bevezető beszállítókat.

Az alábbi űrlap kitöltésével kérheti, hogy ne adják el az adataimat.

ISO 22301:2019

Társadalombiztonság – Üzletmenet-folytonossági irányítási rendszerek – Követelmények, egy olyan irányítási rendszerszabvány, amely meghatározza a dokumentált irányítási rendszer tervezésére, létrehozására, bevezetésére, működtetésére, ellenőrzésére, felülvizsgálatára, fenntartására és folyamatos fejlesztésére vonatkozó követelményeket, hogy védelmet nyújtson a zavaró eseményekkel szemben, csökkentse azok előfordulásának valószínűségét, felkészüljön azokra, reagáljon rájuk és helyreállítsa őket, amikor azok bekövetkeznek.

ISO 22301:2019 tanúsítvánnyal rendelkezünk, és készen állunk arra, hogy bármilyen zavaró eseményt kezeljünk és helyreállítsunk, ha az bekövetkezik.

  • Appy-Pie-LLPAppy-Pie-LLP

ISO 27001:2013

Az ISO 27001 tanúsítás egy információbiztonsági irányítási rendszer (ISMS) tanúsítása, amely lényegében egy irányelvekből és eljárásokból álló keretrendszer. Magában foglalja a szervezet információs kockázatkezelési folyamatához kapcsolódó valamennyi jogi, fizikai és technikai ellenőrzést, amelyek célja az információk biztonságban tartása.

ISO 27001:2013 tanúsítvánnyal rendelkezünk, és elkötelezettek vagyunk a kockázatok azonosítása, a következmények felmérése és a rendszerezett ellenőrzések bevezetése iránt, amelyek bizalmat ébresztenek minden tevékenységünkben.

  • Appy-Pie-LLCAppy-Pie-LLC
  • ISO27001 Appy-Pie-LtdAppy-Pie-Ltd
  • ISO27001-LLPISO27001-LLP


Önkéntes termék-hozzáférhetőségi sablon (VPAT)

Az Appy Pie létrehozott egy önkéntes termék-hozzáférhetőségi sablont (VPAT), amely összhangban van az 508-as szakasz szabványaival. Részletesen ismerteti az 508. szakasz követelményeinek minden egyes aspektusát, és azt, hogy hogyan támogatjuk az egyes kritériumokat.

VPAT-unk tartalmazza az 508. szakasz (2017-es frissítés), a Web Content Accessibility Guidelines (WCAG) 2.0 Success Criteria & Conformance Requirements (A, AA, AAA szintek), valamint az EN 301 európai akadálymentesítési szabványok dokumentációját. A teljes jelentés itt tekinthető meg.

GDPR

Az Appy Pie betartja a GDPR-t, és minden személyes adatot a rendeletben meghatározott, az Appy Pie szolgáltatásaira és a platformra vonatkozó iránymutatásoknak megfelelően kezel.

A GDPR a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendeletre utal.

Az alábbi űrlap kitöltésével kérheti, hogy ne adják el az adataimat.

EU-s adattovábbítási mechanizmus

A GDPR elsősorban az Európai Gazdasági Térségben (EGT) található adatkezelőkre és adatfeldolgozókra vonatkozik, és ha a személyes adatokat az EGT-n kívülre továbbítják, fennáll a GDPR-védelem elvesztésének veszélye. Ezért a GDPR korlátozza a személyes adatok EGT-n kívüli továbbítását, kivéve, ha az egyének jogai valamilyen módon védettek. A közelmúltig erre két lehetőség volt: az EU-USA adatvédelmi pajzs és a szabványos szerződési feltételek.

A közelmúltban azonban az Európai Unió Bírósága érvénytelenítette az EU és az USA közötti adattovábbításra vonatkozó adatvédelmi pajzs keretrendszerét. A szabványos szerződési feltételek azonban továbbra is érvényesek az EU-n, Svájcon vagy az Egyesült Királyságon kívüli adatfeldolgozóknak történő adattovábbítás eszközeként vagy mechanizmusaként.

Az Appy Pie-nél az adattovábbításra vonatkozóan szabványos szerződési feltételeket (SCC) alkalmazunk, hogy minden személyes adat védve legyen. Mi, az Appy Pie-nél elkötelezettek vagyunk amellett, hogy lehetővé tegyük ügyfeleink számára az ügyfélszolgálat felelősségteljes ellátását az előírt megfelelőségi politikák végrehajtásával és betartásával, mind adatkezelőként, mind adatfeldolgozóként.

CCPA

A California Consumer Privacy Act egy olyan állami jogszabály, amelynek célja a kaliforniai lakosok adatvédelmi jogainak és fogyasztóvédelmének erősítése.

Az Appy Pie megfelel a CCPA-nak, és átláthatóan kezeli az ügyfelektől a platformon keresztül gyűjtött valamennyi személyes adatot. Az Appy Pie CCPA-irányelveinek elolvasásához kattintson ide.

Az alábbi űrlap kitöltésével kérheti, hogy ne adják el az adataimat.

Behatolás teszt, sebezhetőségi vizsgálat és javítás

Az Appy Pie-nél bevett gyakorlat, hogy ellenőrizzük és alkalmazzuk a harmadik féltől származó szoftverek/szolgáltatások javításait. Ha valamilyen sebezhetőséget fedeznek fel, a javításokat a legmagasabb prioritás szerint alkalmazzuk. A sebezhetőségi vizsgálatot is havonta végzik az Amazon Inspector szolgáltatásainak igénybevételével.

Az Appy Pie a penetrációs tesztelést harmadik fél szakértőivel végeztette el – Bishop Fox és a vonatkozó jelentés a [email protected] e-mail címen érhető el.

Fizikai és hálózati biztonság

Az Appy Pie fejlesztési központja az NSEZ-ben, Noidában (India), értékesítési / támogatási irodái pedig Warrentonban, Virginia (USA), Londonban (UK) és Noidában (India) vannak. Az iroda térfigyelő kamerákkal van felszerelve, és a kamerák felvételeit rendszeresen ellenőrzik az erre felhatalmazott személyzet tagjai. A tűzjelzők és a vízpermetező berendezések a tűz észlelésére és a károk enyhítésére szolgálnak a tűzvész valószínűtlen bekövetkezése esetén. Ezenkívül a telephelyek vezetősége rendszeres tűzvédelmi gyakorlatokat tart, hogy a dolgozókat tájékoztassa a vészhelyzeti evakuálási eljárásokról. Az iroda 24×7-es áramellátással rendelkezik, amelyet egy alternatív, szünetmentes áramellátó rendszer támogat, hogy áramkimaradás esetén is zavartalanul működhessen.

Az Appy Pie összes alkalmazását az Amazon Web Services-en hozza létre és hosztolja, az adatbázisok és alkalmazásszerverek infrastruktúráját pedig az Amazon kezeli és karbantartja.

Az alkalmazás védelmének első rétegét az AWS tűzfala biztosítja, amely a rendszeres DDoS-támadások és egyéb hálózati behatolások kivédésére van felszerelve. A védelem második rétegét az Appy Pie saját alkalmazás tűzfala biztosítja, amely figyeli a jogsértő IP-ket, felhasználókat és spameket. Érdemes megjegyezni, hogy az alkalmazásban tárolt összes fiókjelszó egyirányú hasheléssel és sózással van ellátva.

Az Appy Pie egy több bérlőre épülő adatmodellt használ az összes alkalmazás befogadására. Az Appy Pie egy egyedi virtuális magánfelhőn keresztül nyújt szolgáltatásokat minden egyes alkalmazáshoz, ahol minden ügyfélhez egyedi bérlői azonosítót rendelnek. Az alkalmazást úgy tervezték és ellenőrizték, hogy csak a bejelentkezett bérlő adatai érhetők el. Ez a stratégiai tervezés biztosítja, hogy egyetlen ügyfél sem férhet hozzá egy másik ügyfél adataihoz. Az alkalmazásfejlesztő csapat hozzáférése az alkalmazáshoz szintén ellenőrzött, kezelt és auditált. Minden egyes alkalommal, amikor az alkalmazáshoz és az infrastruktúrához hozzáférnek, részletes napló készül, amelyet később auditálnak.

Szívesen látjuk, ha eljön fizikai helyszínünkre, és megvizsgálja a helyszínen hozott biztonsági intézkedéseket, ha a [email protected] e-mail címen keresztül időpontot egyeztet velünk.

Adminisztratív műveletek

Felelős és elismert szervezetként rendkívül éberen ügyelünk adataink védelmére és ügyfeleink adatainak biztonságban tartására. A szervezet alkalmazottai csak az intelligens kártyák segítségével történő engedélyezés után léphetnek be az irodába, és az iroda érzékeny területeihez csak az arra jogosultak férhetnek hozzá.

Adatvesztés elleni védelem

Az optimális adatvesztés elleni védelem biztosítása érdekében az Appy Pie-nél az adatvesztés elleni védelem világelső cégét, a CoSoSys Endpoint Protector-t használjuk, amely megakadályozza az adatok nem megfelelő fizikai vagy digitális úton történő továbbítását. Ez azt jelenti, hogy a vállalat adatai nem másolhatók más tömegtároló eszközre, és nem küldhetők el e-mailben csatolmányként vagy bármilyen más formában a nagy teljesítményű biztonságuk segítségével.

Adattárolás

Az ügyfelek adatainak védelme és biztonsága komoly kérdés az Appy Pie számára, ezért őszintén és felelősségteljesen kezeli az alkalmazás és az ügyfelek adatainak biztonságát. A platform segítségével létrehozott egyedi alkalmazások rendelkezésre bocsátása és hozzáférés-kezelése azonban az egyes alkalmazások tulajdonosainak belátása szerint történik.

Az Appy Pie fejlesztői csapata nem fér hozzá a termelési szervereken lévő adatokhoz, azonban az alkalmazás, az infrastruktúra, a webes tartalom és a telepítési folyamatok minden változtatását részletesen dokumentálják a belső változásellenőrzési folyamat részeként.

Platformunk korlátozott mennyiségű információt gyűjt ügyfeleinkről, amelyek közé tartozik a név, az e-mail cím és a telefonszám, és ezeket az adatokat csak a fiók létrehozásához tartjuk meg. A Stripe, az Appy Pie PCI-kompatibilis fizetési processzora a számlázási kérelmekhez és megtartja az ügyfelek postacímét, valamint a hitelkártya lejárati dátumát és a CVV-t.

Az Appy Pie nagyon komolyan veszi az ügyfelek adatainak integritását és védelmét, és kétféle adattörténetet tart fenn: a rendszer alkalmazásnaplóit, valamint az alkalmazás és az ügyfelek adatait. Mindezeket az adatokat az Amazon legmodernebb felhőalapú számítástechnikai platformján, az AWS-en tárolják, és a biztonsági mentések hatóránként készülnek több helyszínen.

Az adatbázisokról naponta biztonsági mentést készítenek, és 35 napig tartják fenn őket. Az ügyfelek adatai kétféle módon kerülnek mentésre:

  1. Az elsődleges adatközpontban bekövetkező rendszerhiba esetén folyamatos biztonsági másolat készül különböző adatközpontokban. A robusztus biztonsági mentésnek köszönhető, hogy bármelyik adatközpontban bekövetkező valószínűtlen katasztrófa esetén ügyfeleink mindössze öt perc adatveszteséget szenvednének el.

  2. Az adatokról minden nap biztonsági másolat készül a tartós tárolóba, és 15 napig megőrzi azokat.

Európában és az Egyesült Államokban az AES 256 bites szabványt (kulcserősség – 1024) használják a nyugalmi adatok titkosítására, a kulcsokat az AWS kulcskezelő szolgáltatás kezeli. A FIPS-140-2 szabványú titkosítást biztonságos aljzatú kapcsolaton keresztül használjuk az összes adat titkosítására az appypie.com-on tárolt összes fiók esetében. Továbbá, a független domaineken elhelyezett fiókok számára rendelkezésre áll egy olyan opció, amely lehetővé teszi a biztonságos aljzatkapcsolatot.

Különböző környezeteket használnak a fejlesztés és a tesztelés céljára, a rendszerekhez való hozzáférés szigorú irányítási rendszere van érvényben, az információk minősítésének megfelelően, a szükséges tennivalók/ismeretek alapján, ahol a feladatok elkülönítése be van építve, és negyedévente felülvizsgálják.

Mobil biztonság

Az Appy Pie-nél a gyakorlatban a Kryptowire Mobile Application Security Testing (MAST) megoldását használjuk, hogy minden Appy Pie-alkalmazást biztonságossá tegyünk, és biztosítsuk a platform minden felhasználójának adatvédelmét.

A Kryptowire segítségével folyamatosan értékeljük bármely mobileszköz biztonságát és adatvédelmét a legmagasabb, nemzetközileg elismert, a következő szervezetek által közzétett szoftverbiztosítási szabványok alapján
– A Nemzeti Szabványügyi és Technológiai Intézet (NIST)
– Nemzeti információbiztonsági partnerség (NIAP)
– Nyílt webes alkalmazásbiztonsági projekt (OWASP)

Adattörlés vagy redundancia

A fiók törlésekor a fiókhoz kapcsolódó összes adatot 14 munkanapon belül megsemmisítjük. Ha azonban a számlatulajdonos biztonsági másolatot szeretne készíteni az adatairól, az Appy Pie termékek adatexportálási lehetőségeket kínálnak.

Problémák és fenyegetések jelentése

Abban az esetben, ha bármilyen problémával, biztonsági incidenssel (például jogsértésekkel és potenciális sebezhetőségekkel) vagy hibával találkozik, amelyek hatással lehetnek az Appy Pie felhasználók adatbiztonságára vagy adatvédelmére, kérjük, forduljon hozzánk, és írjon nekünk a [email protected] címre, megjelölve aggodalmait és részleteit, hogy a lehető leghamarabb dolgozhassunk rajta.

A kérését azonnal megvizsgáljuk, ahol esetleg felkeressük Önt és segítséget kérünk a probléma azonosításához vagy megismétléséhez, valamint a fenyegetés azonnali megoldására szolgáló eszközök meghatározásához vagy stratégiák kidolgozásához.

A vállalat rendelkezik egy belső jogtanácsos által jóváhagyott adatvédelmi politikával, amely nyilvánosan elérhető a https://www.appypie.com/privacy-policy oldalon, és az Appy Pie által használt fizetési átjáró (Stripe) PCI-kompatibilis.