Protezione e sicurezza dei dati

Perché la sicurezza dei dati è fondamentale e cosa significa per Appy Pie?

Nel mondo digitale l’importanza della sicurezza dei dati è fondamentale, non solo per i nostri clienti, ma anche per i loro clienti. La vulnerabilità dei dati in qualsiasi fase può portare a gravi conseguenze per l’intero ecosistema.

In qualità di imprenditore, quando scegliete un servizio o una piattaforma per offrire i vostri prodotti e servizi ai clienti, state essenzialmente scegliendo il collegamento tra voi e i clienti. Per questo motivo è importante che la piattaforma aderisca a standard di sicurezza ottimali e abbia la giusta certificazione per garantire la protezione di tutti i dati sensibili che state raccogliendo dai vostri dati. Questi dati possono includere indirizzi e-mail, indirizzi fisici, numeri di contatto, informazioni di pagamento o altri dati sensibili.

Avete la responsabilità nei confronti dei vostri clienti che i dati da loro forniti nel corso dell’attività commerciale siano tenuti al sicuro, gestiti in modo etico e non siano mai condivisi con nessuno a loro insaputa o senza il loro consenso.

In Appy Pie adottiamo misure di sicurezza rigorose e ci impegniamo a garantire che non vi siano vulnerabilità nei nostri processi in nessuna fase. AppyPie.com vi aiuta a garantire ai vostri clienti sicurezza e conformità di livello aziendale in ogni interazione.

Di seguito sono elencate le certificazioni e le misure di conformità adottate da AppyPie.com per garantire che i nostri clienti e i vostri clienti siano protetti da qualsiasi attività senza scrupoli.

Conformità PCI DSS

Il gateway di pagamento utilizzato da Appy Pie è conforme agli standard PCI DSS. Siamo entrati nel 2019 con preoccupazione e trepidazione per la vulnerabilità dei dati, le violazioni e le fughe di notizie. Ecco perché la sicurezza continua a essere un tema caldo e una questione di interesse pubblico.

Appy Pie si impegna a garantire che le informazioni di pagamento dei propri clienti siano sempre protette. Stripe, il processore di pagamenti di Appy Pie conforme allo standard PCI per le richieste di fatturazione, conserva l’indirizzo postale dei clienti, la data di scadenza della carta di credito e il CVV.

È possibile inviare una richiesta di “Non vendere i miei dati” compilando questo modulo.

Attestazione SOC 2

I nostri clienti si fidano della nostra piattaforma al punto da lasciarci gestire i loro processi critici come la fatturazione, la bollettazione e altro ancora, e in cambio noi assicuriamo loro che i loro interessi e la privacy dei loro clienti sono valorizzati e protetti.

L’attestazione SOC 2 garantisce che i fornitori di servizi SaaS come Appy Pie gestiscano i dati in modo sicuro, in modo che i vostri interessi e la privacy dei vostri clienti siano sempre protetti.

La conformità SOC di Appy Pie è particolarmente adatta alle aziende che hanno bisogno di controllare internamente il proprio reporting finanziario e di mostrare i fornitori che hanno implementato i controlli interni durante gli audit.

È possibile inviare una richiesta di “Non vendere i miei dati” compilando questo modulo.

ISO 22301:2019

Sicurezza sociale – Sistemi di gestione della continuità operativa – Requisiti, è uno standard di sistema di gestione che specifica i requisiti per pianificare, stabilire, implementare, gestire, monitorare, riesaminare, mantenere e migliorare continuamente un sistema di gestione documentato per la protezione, la riduzione della probabilità di accadimento, la preparazione, la risposta e il recupero da incidenti dirompenti quando si verificano.

Siamo certificati ISO 22301:2019 e siamo pronti a gestire e a riprenderci da qualsiasi incidente di disturbo, se dovesse verificarsi.

  • Appy-Pie-LLPAppy-Pie-LLP

ISO 27001:2013

La certificazione ISO 27001 è una certificazione per un sistema di gestione della sicurezza delle informazioni (ISMS), che è essenzialmente un quadro di politiche e procedure. Comprende tutti i controlli legali, fisici e tecnici relativi al processo di gestione del rischio informativo di un’organizzazione, finalizzati a mantenere la sicurezza delle informazioni.

Siamo certificati ISO 27001:2013 e ci impegniamo a identificare i rischi, a valutare le implicazioni e a mettere in atto controlli sistematici che ispirino fiducia in tutto ciò che facciamo.

  • Appy-Pie-LLCAppy-Pie-LLC
  • ISO27001 Appy-Pie-LtdAppy-Pie-Ltd
  • ISO27001-LLPISO27001-LLP


Modello volontario di accessibilità dei prodotti (VPAT)

Appy Pie ha creato un modello volontario di accessibilità del prodotto (VPAT) conforme agli standard della Sezione 508. Il documento illustra in dettaglio ogni aspetto dei requisiti della Sezione 508 e il modo in cui supportiamo ogni criterio.

Il nostro VPAT contiene documentazione sulla Sezione 508 (aggiornamento 2017), sulle Linee guida per l’accessibilità dei contenuti Web (WCAG) 2.0 Criteri di successo e requisiti di conformità (livelli A, AA, AAA), nonché sugli standard europei di accessibilità EN 301. È possibile consultare l’intero rapporto qui.

GDPR

Appy Pie è conforme al GDPR ed elabora tutti i dati personali in conformità alle linee guida stabilite dal regolamento che sono applicabili ai servizi di Appy Pie e alla piattaforma.

GDPR si riferisce al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

È possibile inviare una richiesta di “Non vendere i miei dati” compilando questo modulo.

Meccanismo di trasferimento dei dati dell’UE

Il GDPR si applica principalmente ai responsabili del trattamento e agli incaricati del trattamento situati nello Spazio economico europeo (SEE) e se i dati personali vengono trasferiti al di fuori del SEE, c’è il rischio di perdere la protezione del GDPR. Per questo motivo il GDPR limita il trasferimento di dati personali al di fuori del SEE, a meno che i diritti delle persone non siano in qualche modo protetti. Fino a poco tempo fa esistevano due modi per farlo: lo scudo per la privacy UE-USA e le clausole contrattuali standard.

In un recente sviluppo, tuttavia, la Corte di giustizia dell’Unione europea ha invalidato il quadro dello scudo per la privacy UE-USA per il trasferimento dei dati. Tuttavia, le clausole contrattuali standard sono ancora valide come strumento o meccanismo per il trasferimento dei dati a responsabili del trattamento al di fuori dell’UE, della Svizzera o del Regno Unito.

Appy Pie dispone di clausole contrattuali standard (SCC) per il trasferimento dei dati, in modo da proteggere tutti i dati personali. Noi di Appy Pie ci impegniamo a consentire ai nostri clienti di fornire il servizio clienti in modo responsabile, implementando e aderendo alle politiche di conformità prescritte, sia come controllore che come responsabile del trattamento dei dati.

CCPA

Il California Consumer Privacy Act è uno statuto statale che mira a migliorare i diritti alla privacy e la protezione dei consumatori per i residenti in California.

Appy Pie è conforme alla CCPA ed è trasparente su tutti i dati personali raccolti dai clienti attraverso la piattaforma. Per leggere la politica CCPA di Appy Pie, fare clic qui.

È possibile inviare una richiesta di “Non vendere i miei dati” compilando questo modulo.

Test di penetrazione, scansione delle vulnerabilità e patching

Come prassi, noi di Appy Pie controlliamo e applichiamo le patch per i software/servizi di terze parti. Nel caso in cui vengano scoperte delle vulnerabilità, applichiamo le correzioni con la massima priorità. Inoltre, ogni mese viene effettuata una scansione delle vulnerabilità utilizzando i servizi di Amazon Inspector.

Appy Pie ha fatto eseguire i test di penetrazione da esperti di terze parti – Bishop Fox e il relativo rapporto può essere ottenuto inviando un’e-mail a [email protected].

Sicurezza fisica e di rete

Appy Pie ha il suo centro di sviluppo a NSEZ, Noida (India), e uffici di vendita/assistenza a Warrenton, Virginia (USA), Londra (Regno Unito) e Noida (India). L’ufficio è dotato di telecamere di sorveglianza e le loro riprese sono monitorate periodicamente da personale autorizzato. Allarmi antincendio e sprinkler ad acqua sono presenti per rilevare e mitigare i danni nell’improbabile caso di un incendio. Inoltre, il team di gestione della sede conduce regolarmente esercitazioni antincendio per istruire i dipendenti sulle procedure di evacuazione di emergenza. L’ufficio è dotato di un’alimentazione elettrica 24 ore su 24, 7 giorni su 7, supportata da un sistema alternativo di alimentazione ininterrotta per garantire un funzionamento regolare in caso di interruzione della corrente.

Tutte le applicazioni di Appy Pie sono create e ospitate su Amazon Web Services e l’infrastruttura per i database e i server delle applicazioni è gestita e mantenuta da Amazon.

Il primo livello di protezione dell’applicazione è fornito dal firewall di AWS, che è in grado di contrastare gli attacchi DDoS e altre intrusioni di rete. Il secondo livello di protezione è offerto dal firewall delle applicazioni di Appy Pie, che monitora gli IP, gli utenti e lo spam che si sono resi colpevoli. Vale la pena notare che tutte le password degli account memorizzate nell’applicazione sono sottoposte a hash e salatura unidirezionale.

Appy Pie utilizza un modello di dati multi-tenant per ospitare tutte le sue applicazioni. È attraverso un cloud privato virtuale individuale che Appy Pie fornisce servizi per ogni applicazione, assegnando a ciascun cliente un ID tenant unico. L’applicazione è progettata e verificata per garantire che vengano recuperati solo i dati dell’inquilino che ha effettuato l’accesso. Questo design strategico garantisce che nessun cliente possa accedere ai dati di un altro cliente. Anche l’accesso all’applicazione da parte del team di sviluppo è controllato, gestito e verificato. Ogni volta che si accede all’applicazione e all’infrastruttura, viene creato un registro dettagliato che viene successivamente verificato.

Siete invitati a visitare la nostra sede fisica e ad esaminare le misure di sicurezza adottate nel sito fissando un appuntamento con noi via e-mail all’indirizzo [email protected].

Operazioni amministrative

Essendo un’organizzazione responsabile e rispettata, siamo estremamente attenti alla protezione dei nostri dati e alla sicurezza dei dati dei nostri clienti. I dipendenti dell’organizzazione possono accedere all’ufficio solo previa autorizzazione tramite smart card e le aree sensibili dell’ufficio sono accessibili solo al personale autorizzato.

Protezione dalla perdita di dati

Come misura per fornire una protezione ottimale contro la perdita di dati, noi di Appy Pie utilizziamo il leader mondiale nella protezione contro la perdita di dati – Endpoint Protector di CoSoSys che impedisce qualsiasi trasmissione inappropriata di dati attraverso mezzi fisici o digitali. Ciò significa che i dati dell’azienda non possono essere copiati su nessun altro dispositivo di archiviazione di massa, né possono essere inviati tramite e-mail come allegato o in qualsiasi altra forma utilizzando la loro potente sicurezza.

Memorizzazione dei dati

La protezione e la sicurezza dei dati dei clienti è una questione seria per Appy Pie, che gestisce la sicurezza delle sue applicazioni e dei dati dei clienti con sincerità e responsabilità. Tuttavia, il provisioning e la gestione degli accessi delle singole app create con la piattaforma sono a discrezione dei singoli proprietari delle app.

Il team di sviluppo di Appy Pie non ha accesso ai dati sui server di produzione, tuttavia qualsiasi modifica all’applicazione, all’infrastruttura, ai contenuti web e ai processi di distribuzione viene ampiamente documentata come parte di un processo interno di controllo delle modifiche.

La nostra piattaforma raccoglie informazioni limitate sui nostri clienti, tra cui il nome, l’indirizzo e-mail e il telefono, e questi dati vengono conservati solo per la creazione dell’account. Stripe, il processore di pagamenti di Appy Pie conforme allo standard PCI per le richieste di fatturazione, conserva l’indirizzo postale dei clienti, la data di scadenza della carta di credito e il CVV.

Appy Pie prende molto sul serio l’integrità e la protezione dei dati dei clienti e mantiene due tipi di cronologia dei dati: i log delle applicazioni del sistema e i dati delle applicazioni e dei clienti. Tutti questi dati sono archiviati nella piattaforma di cloud computing all’avanguardia di Amazon, AWS, e i backup vengono eseguiti ogni sei ore in più sedi.

I backup dei database vengono eseguiti quotidianamente e mantenuti per una durata di 35 giorni. Il backup dei dati dei clienti avviene in due modi:

  1. Un backup continuo viene mantenuto in diversi datacenter in caso di failover del sistema nel datacenter primario. Grazie alla robustezza del backup, in caso di un’improbabile catastrofe in uno qualsiasi dei datacenter, i nostri clienti perderebbero solo cinque minuti di dati.

  2. Il backup dei dati viene effettuato ogni giorno su uno storage persistente e conservato per 15 giorni.

In Europa e negli Stati Uniti, per crittografare i dati a riposo viene utilizzato lo standard AES a 256 bit (forza della chiave – 1024), con AWS Key Management Service che gestisce le chiavi. La crittografia standard FIPS-140-2 su una connessione socket sicura viene utilizzata per crittografare tutti i dati in transito per tutti gli account ospitati su appypie.com. Inoltre, per gli account ospitati su domini indipendenti è disponibile un’opzione che consente una connessione sicura.

Per lo sviluppo e il collaudo vengono utilizzati ambienti diversi, è in vigore un sistema di gestione rigoroso per l’accesso ai sistemi in base alla necessità di fare/conoscere in base alla classificazione delle informazioni, in cui la Segregazione delle mansioni è integrata e rivista su base trimestrale.

Sicurezza mobile

Come prassi, noi di Appy Pie utilizziamo la soluzione Mobile Application Security Testing (MAST) di Kryptowire per rendere sicure tutte le applicazioni di Appy Pie e garantire la privacy dei dati a tutti gli utenti della nostra piattaforma.

Utilizziamo Kryptowire per valutare continuamente la sicurezza e la privacy di qualsiasi dispositivo mobile rispetto ai più elevati standard di garanzia del software riconosciuti a livello internazionale e pubblicati da
– L’Istituto nazionale per gli standard e le tecnologie (NIST)
– Partenariato nazionale per la sicurezza delle informazioni (NIAP)
– Progetto aperto sulla sicurezza delle applicazioni web (OWASP)

Cancellazione o ridondanza dei dati

Quando si elimina un account, tutti i dati ad esso associati vengono distrutti entro 14 giorni lavorativi. Se, tuttavia, il titolare di un account desidera il backup dei propri dati, i prodotti Appy Pie offrono opzioni di esportazione dei dati.

Segnalazione di problemi e minacce

Nel caso in cui si verifichino problemi, incidenti di sicurezza (come violazioni e potenziali vulnerabilità) o difetti che potrebbero influire sulla sicurezza dei dati o sulla privacy degli utenti di Appy Pie, vi preghiamo di contattarci e di scrivere a [email protected] citando le vostre preoccupazioni e i vostri dettagli, in modo che possiamo lavorare al più presto.

La vostra richiesta sarà esaminata immediatamente e potremmo contattarvi e chiedervi di aiutarci a identificare o riprodurre il problema e a determinare i mezzi o le strategie per risolvere subito la minaccia.

L’azienda dispone di un’informativa sulla privacy, approvata da un consulente legale interno, disponibile pubblicamente all’indirizzo https://www.appypie.com/privacy-policy e il gateway di pagamento (Stripe) utilizzato da Appy Pie è conforme alla normativa PCI.