Dlaczego bezpieczeństwo danych jest krytyczne i co to oznacza w Appy Pie?

W cyfrowym świecie znaczenie bezpieczeństwa danych jest krytyczne, nie tylko dla naszych klientów, ale także dla ich klientów. Podatność danych na każdym etapie może przynieść poważne konsekwencje dla całego ekosystemu.

Jako właściciel firmy, kiedy wybierasz usługę lub platformę do oferowania swoich produktów i usług swoim klientom, zasadniczo wybierasz połączenie między tobą a klientami. Dlatego tak ważne jest, aby platforma przestrzegała optymalnych standardów bezpieczeństwa i posiadała odpowiednie certyfikaty, które zapewnią ochronę wszystkim tym wrażliwym danym, które gromadzisz. Dane te mogą obejmować adresy e-mail, adresy fizyczne, numery kontaktowe, informacje o płatnościach lub inne tego typu wrażliwe dane.

Masz obowiązek wobec swoich klientów, aby wszelkie takie dane, które podają w trakcie prowadzenia działalności, były przechowywane bezpiecznie, traktowane w sposób etyczny i nigdy nie były udostępniane nikomu bez ich wiedzy lub zgody.

W Appy Pie stosujemy rygorystyczne środki bezpieczeństwa i staramy się upewnić, że w naszych procesach na żadnym etapie nie ma luk. AppyPie.com pomaga Ci zapewnić bezpieczeństwo i zgodność z przepisami klasy korporacyjnej Twoim klientom w każdej interakcji.

Poniżej wymienione są certyfikaty i środki zgodności podjęte przez AppyPie.com w celu zapewnienia, że nasi klienci i Twoi klienci są chronieni przed wszelkimi działaniami bez skrupułów.

Zgodność z PCI DSS

Bramka płatności używana przez Appy Pie jest zgodna z PCI DSS. Wkroczyliśmy w 2019 rok z niepokojem i trwogą o podatność danych, naruszenia i wycieki. Dlatego też bezpieczeństwo jest nadal gorącym tematem i budzi niepokój opinii publicznej.

Appy Pie bierze na siebie odpowiedzialność za zapewnienie, że informacje o płatnościach ich klientów są zawsze chronione. Stripe, procesor płatności Appy Pie zgodny z PCI dla żądań rozliczeń i zachowuje adres pocztowy klientów, wraz z datą ważności karty kredytowej i CVV.

Możesz umieścić prośbę “Nie sprzedawaj moich danych”, wypełniając ten formularz.

Atest SOC 2

Nasi klienci ufają naszej platformie na tyle, że pozwalają nam obsługiwać ich krytyczne procesy, takie jak rozliczenia, fakturowanie i inne, a w zamian zapewniamy im, że ich interesy i prywatność ich klientów są cenione i chronione.

Atest SOC 2 zapewnia, że dostawcy usług SaaS, tacy jak Appy Pie, zarządzają danymi w sposób bezpieczny, tak aby interes i prywatność Twoich klientów były zawsze chronione.

Zgodność SOC Appy Pie jest szczególnie przydatna dla firm, które muszą wewnętrznie kontrolować swoją sprawozdawczość finansową, a także pokazać podczas audytów sprzedawców, którzy wdrożyli kontrole wewnętrzne.

Możesz umieścić prośbę “Nie sprzedawaj moich danych”, wypełniając ten formularz.

ISO 22301:2019

Bezpieczeństwo społeczne – Systemy zarządzania ciągłością działania – Wymagania, jest normą systemu zarządzania, która określa wymagania dotyczące planowania, ustanawiania, wdrażania, działania, monitorowania, przeglądu, utrzymywania i ciągłego doskonalenia udokumentowanego systemu zarządzania w celu ochrony przed, zmniejszania prawdopodobieństwa wystąpienia, przygotowania się, reagowania na zdarzenia zakłócające i odzyskiwania z nich danych w przypadku ich wystąpienia.

Posiadamy certyfikat ISO 22301:2019 i jesteśmy przygotowani do obsługi i odzyskiwania z każdego zakłócającego incydentu, jeśli taki się pojawi.

ISO 27001:2013

Certyfikacja ISO 27001 jest certyfikacją systemu zarządzania bezpieczeństwem informacji (ISMS) – który jest zasadniczo ramą polityk i procedur. Obejmuje ona wszystkie prawne, fizyczne i techniczne środki kontroli związane z procesem zarządzania ryzykiem informacyjnym organizacji, mające na celu utrzymanie bezpieczeństwa informacji.

Posiadamy certyfikat ISO 27001:2013 i jesteśmy zaangażowani w identyfikację ryzyka, ocenę implikacji oraz wprowadzenie systemowych kontroli, które wzbudzają zaufanie do wszystkiego, co robimy.

Dobrowolny szablon dostępności produktu (VPAT)

Appy Pie stworzyło Dobrowolny Szablon Dostępności Produktu (VPAT), który jest zgodny z normami Sekcji 508. Opisuje on szczegółowo każdy aspekt wymagań Sekcji 508 i sposób, w jaki wspieramy każde kryterium.

Nasz VPAT zawiera dokumentację dotyczącą Section 508 (2017 Refresh), Web Content Accessibility Guidelines (WCAG) 2.0 Success Criteria & Conformance Requirements (Levels A, AA, AAA), jak również europejskich standardów dostępności EN 301. Z całym raportem można zapoznać się tutaj.

GDPR

Appy Pie przestrzega GDPR i przetwarza wszystkie dane osobowe zgodnie z wytycznymi określonymi w rozporządzeniu, które mają zastosowanie do usług i platformy Appy Pie.

GDPR oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Możesz umieścić prośbę “Nie sprzedawaj moich danych”, wypełniając ten formularz.

Unijny mechanizm przekazywania danych

GDPR ma zastosowanie przede wszystkim do administratorów i podmiotów przetwarzających zlokalizowanych w Europejskim Obszarze Gospodarczym lub EOG, a jeśli dane osobowe są przekazywane poza EOG, istnieje ryzyko utraty ochrony GDPR. To właśnie z tego powodu GDPR ogranicza przekazywanie danych osobowych poza EOG, chyba że prawa osób fizycznych są w jakiś sposób chronione. Do niedawna były na to dwa sposoby – Tarcza Prywatności UE-USA oraz Standardowe Klauzule Umowne.

W ostatnim czasie Trybunał Sprawiedliwości Unii Europejskiej unieważnił jednak ramy Tarczy Prywatności UE-USA dotyczące przekazywania danych. Standardowe klauzule umowne są jednak nadal ważne jako narzędzie lub mechanizm przekazywania danych do podmiotów przetwarzających dane spoza UE, Szwajcarii lub Wielkiej Brytanii.

W Appy Pie stosujemy Standardowe Klauzule Umowne (SCC) dotyczące przekazywania danych, dzięki czemu wszystkie dane osobowe są chronione. My, w Appy Pie, zobowiązujemy się do umożliwienia naszym klientom odpowiedzialnej obsługi klienta poprzez wdrożenie i przestrzeganie określonych zasad zgodności, zarówno jako administrator danych, jak i podmiot przetwarzający.

CCPA

California Consumer Privacy Act jest ustawą stanową, która ma na celu zwiększenie praw do prywatności i ochrony konsumenta dla mieszkańców Kalifornii.

Appy Pie jest zgodny z CCPA i jest transparentny w kwestii wszystkich lub jakichkolwiek danych osobowych zebranych od klientów za pośrednictwem platformy. Aby przeczytać politykę CCPA Appy Pie, proszę kliknąć tutaj.

Możesz umieścić prośbę “Nie sprzedawaj moich danych”, wypełniając ten formularz.

Testy penetracyjne, skanowanie podatności i łatanie błędów

Jako praktyka, w Appy Pie sprawdzamy i stosujemy poprawki dla oprogramowania/usług firm trzecich. W przypadku odkrycia jakiejkolwiek luki stosujemy poprawki z najwyższym priorytetem. Ponadto co miesiąc przeprowadzane jest skanowanie podatności na zagrożenia z wykorzystaniem usług Amazon Inspector.

Appy Pie zleciło przeprowadzenie testów penetracyjnych firmie Bishop Fox, a stosowny raport można uzyskać wysyłając e-mail na adres [email protected].

Bezpieczeństwo fizyczne i sieciowe

Appy Pie posiada swoje centrum rozwoju w NSEZ, Noida (Indie), oraz biura sprzedaży/wsparcia w Warrenton, Virginia (USA) & London (UK) & Noida (Indie). Biuro wyposażone jest w kamery monitoringu, a ich nagrania są okresowo monitorowane przez upoważnionych pracowników. Alarmy przeciwpożarowe i zraszacze wodne są na miejscu, aby wykryć i złagodzić szkody w mało prawdopodobnym przypadku pożaru. Dodatkowo, regularnie przeprowadzane są przez zespół zarządzający obiektem ćwiczenia przeciwpożarowe, mające na celu edukację pracowników w zakresie procedur ewakuacyjnych. Biuro wyposażone jest w zasilanie 24×7, wspomagane alternatywnym systemem bezprzerwowego zasilania, zapewniającym sprawne funkcjonowanie w przypadku braku prądu.

Wszystkie aplikacje w Appy Pie są tworzone i hostowane na Amazon Web Services, a infrastruktura baz danych i serwerów aplikacji jest zarządzana i utrzymywana przez Amazon.

Pierwszą warstwę ochrony aplikacji zapewnia firewall AWS, który jest wyposażony w sprzęt do przeciwdziałania regularnym atakom DDoS i innym włamaniom związanym z siecią. Drugą warstwę ochrony oferuje własny firewall aplikacyjny Appy Pie, który monitoruje obraźliwe IP, użytkowników i spam. Warto zauważyć, że wszystkie hasła do kont, które są przechowywane w aplikacji są jednokierunkowo haszowane i solone.

Appy Pie używa modelu danych multi-tenant do hostingu wszystkich swoich aplikacji. To właśnie poprzez indywidualną wirtualną chmurę prywatną Appy Pie obsługuje każdą aplikację, gdzie do każdego klienta przypisany jest unikalny identyfikator lokatora. Aplikacja jest tak zaprojektowana i zweryfikowana, aby zapewnić, że tylko dane dla zalogowanego najemcy mogą być pobierane. To właśnie ta strategiczna konstrukcja zapewnia, że żaden klient nie ma dostępu do danych innego klienta. Dostęp do aplikacji przez zespół programistów jest również kontrolowany, zarządzany i audytowany. Przy każdym dostępie do aplikacji i infrastruktury tworzone są szczegółowe logi, które są następnie audytowane.

Zapraszamy do odwiedzenia naszej fizycznej lokalizacji i zbadania środków bezpieczeństwa zastosowanych w obiekcie poprzez umówienie się z nami za pośrednictwem poczty elektronicznej na adres [email protected].

Operacje administracyjne

Jako odpowiedzialna i szanowana organizacja, jesteśmy niezwykle czujni jeśli chodzi o ochronę naszych danych i bezpieczeństwo danych naszych klientów. Pracownicy organizacji otrzymują dostęp do biura tylko po autoryzacji za pomocą kart inteligentnych, a do wrażliwych obszarów biura może mieć dostęp tylko upoważniony personel.

Ochrona przed utratą danych

W celu zapewnienia optymalnej ochrony danych, Appy Pie używa światowego lidera w dziedzinie ochrony przed utratą danych – Endpoint Protector firmy CoSoSys, który zapobiega wszelkim niewłaściwym przekazom danych za pośrednictwem środków fizycznych lub cyfrowych. Oznacza to, że dane z firmy nie mogą być skopiowane na żadne inne urządzenie pamięci masowej, ani nie mogą być wysłane za pośrednictwem poczty elektronicznej jako załącznik lub w jakiejkolwiek innej formie z wykorzystaniem ich potężnego Zabezpieczenia.

Przechowywanie danych

Ochrona i bezpieczeństwo danych klientów to poważna sprawa dla Appy Pie, dlatego zarządzają oni bezpieczeństwem swoich aplikacji i danych klientów z uczciwością i odpowiedzialnością. Jednak dostarczanie i zarządzanie dostępem do poszczególnych aplikacji tworzonych przy użyciu platformy leży w gestii poszczególnych właścicieli aplikacji.

Zespół programistów Appy Pie nie ma dostępu do danych na serwerach produkcyjnych, jednak wszelkie zmiany w aplikacji, infrastrukturze, zawartości stron internetowych i procesach wdrażania są obszernie dokumentowane w ramach wewnętrznego procesu kontroli zmian.

Nasza platforma zbiera ograniczone informacje o naszych klientach, które obejmują ich imię i nazwisko, adres e-mail i telefon, a dane te są przechowywane tylko w celu utworzenia konta. Stripe, procesor płatności Appy Pie zgodny z PCI dla żądań rozliczeń i zachowuje adres pocztowy klientów, wraz z datą ważności karty kredytowej i CVV.

Appy Pie traktuje integralność i ochronę danych klientów bardzo poważnie i utrzymuje dwa rodzaje historii danych: logi aplikacji z systemu oraz dane aplikacji i klientów. Wszystkie te dane są przechowywane w najnowocześniejszej platformie obliczeniowej Amazon, AWS, a kopie zapasowe są wykonywane co sześć godzin w wielu lokalizacjach.

Kopie zapasowe baz danych są tworzone codziennie i utrzymywane przez okres 35 dni. Dane klientów są backupowane na dwa sposoby:

W przypadku awarii systemu w podstawowym centrum danych utrzymywana jest ciągła kopia zapasowa w różnych centrach danych. To właśnie dzięki solidnemu backupowi, w przypadku mało prawdopodobnej katastrofy w którymkolwiek z centrów danych, nasi klienci straciliby tylko pięć minut danych.
Dane są codziennie backupowane do trwałej pamięci masowej i przechowywane przez 15 dni.

W Europie i Stanach Zjednoczonych do szyfrowania danych w spoczynku wykorzystywane są standardy AES 256bit (siła klucza – 1024), a kluczami zarządza AWS Key Management Service. Szyfrowanie w standardzie FIPS-140-2 przez bezpieczne połączenie gniazdkowe, jest używane do szyfrowania wszystkich danych w tranzycie, dla wszystkich kont hostowanych na appypie.com. Ponadto dla kont, które są hostowane na niezależnych domenach, dostępna jest opcja umożliwiająca bezpieczne połączenie socket.

Do celów rozwoju i testowania wykorzystywane są różne środowiska, funkcjonuje ścisły system zarządzania dostępem do systemów na zasadzie need to do/know zgodnie z klasyfikacją informacji, gdzie Segregacja Obowiązków jest wbudowana i przeglądana co kwartał.

Bezpieczeństwo mobilne

Jako praktyka, w Appy Pie używamy rozwiązania Kryptowire’s Mobile Application Security Testing (MAST), aby wszystkie aplikacje Appy Pie były bezpieczne i zapewniały prywatność danych wszystkim użytkownikom naszej platformy.

Używamy Kryptowire do ciągłej oceny bezpieczeństwa i prywatności dowolnego urządzenia mobilnego pod kątem najwyższych uznanych na świecie standardów zapewnienia oprogramowania opublikowanych przez
– Narodowy Instytut Norm i Technologii (NIST)
– Krajowe partnerstwo na rzecz bezpieczeństwa informacji (NIAP)
– Open Web Application Security Project (OWASP)

Usuwanie lub nadmiarowość danych

Po usunięciu konta wszystkie dane z nim związane są niszczone w ciągu 14 dni roboczych. Jeśli jednak właściciel konta chce mieć kopię zapasową swoich danych, produkty Appy Pie oferują opcje eksportu danych.

Zgłaszanie problemów i zagrożeń

W przypadku napotkania jakichkolwiek problemów, incydentów związanych z bezpieczeństwem (takich jak naruszenia i potencjalne luki w zabezpieczeniach) lub wad, które mogłyby wpłynąć na bezpieczeństwo danych lub prywatność użytkowników Appy Pie, prosimy o kontakt z nami i napisanie na adres [email protected] z podaniem swoich obaw i szczegółów, abyśmy mogli jak najwcześniej zająć się tą sprawą.

Twoje zgłoszenie zostanie rozpatrzone natychmiast, gdzie możemy dotrzeć do Ciebie i poprosić o wskazówki dotyczące identyfikacji lub replikacji problemu i określenia środków lub opracowania strategii w celu natychmiastowego rozwiązania zagrożenia.

Firma posiada politykę prywatności, zatwierdzoną przez wewnętrznego radcę prawnego, dostępną publicznie na stronie https://www.appypie.com/privacy-policy & bramka płatności (Stripe) używana przez Appy Pie jest zgodna z PCI.