Protecção de dados e segurança de dados

Porque é que a Segurança de Dados é crítica e o que significa na Appy Pie?

No mundo digital a importância da segurança dos dados é crítica, não só para os nossos clientes, mas também para os seus clientes. As vulnerabilidades dos dados em qualquer fase podem acarretar consequências graves para todo o ecossistema.

Como empresário, quando escolhe um serviço ou uma plataforma para oferecer os seus produtos e serviços aos seus clientes, está essencialmente a escolher a ligação entre si e os clientes. É por isso que é importante que a plataforma adira às normas de segurança óptimas e tenha a certificação certa para fornecer protecção a todos os dados sensíveis que está a recolher dos seus dados. Estes dados podem incluir os endereços electrónicos, endereços físicos, números de contacto, informações de pagamento, ou quaisquer outros dados sensíveis deste tipo.

O cliente tem a responsabilidade para com os seus clientes de que quaisquer dados deste tipo fornecidos durante o curso dos negócios sejam mantidos em segurança, tratados eticamente e nunca sejam partilhados com ninguém sem o seu conhecimento ou consentimento.

Na Appy Pie, tomamos medidas de segurança rigorosas e dedicamo-nos a garantir que não existem vulnerabilidades nos nossos processos em qualquer fase. AppyPie.com ajuda-o a fornecer segurança de classe empresarial e conformidade aos seus clientes através de cada interacção.

Abaixo estão listadas as certificações e medidas de conformidade tomadas pela AppyPie.com para assegurar que os nossos clientes e os seus clientes estão protegidos de quaisquer actividades sem escrúpulos.

Conformidade PCI DSS

O gateway de pagamento utilizado pela Appy Pie é compatível com o PCI DSS. Entrámos em 2019 com preocupação e trepidação acerca da vulnerabilidade dos dados, violações, e fugas. É por isso que a segurança continua a ser um tema quente e uma questão de interesse público.

A Appy Pie encarrega-se de garantir que as informações de pagamento dos seus clientes estejam sempre protegidas. Stripe, o processador de pagamento compatível com o PCI da Appy Pie para pedidos de facturação & mantém o endereço postal dos clientes, juntamente com a data de expiração do cartão de crédito e CVV.

Pode fazer um pedido de “Não vender os meus dados” preenchendo este formulário.

SOC 2 Atestado

Os nossos clientes confiam suficientemente na nossa plataforma para nos deixarem tratar dos seus processos críticos como facturação, facturação, e mais, e em troca garantimos-lhes que os seus interesses e a privacidade dos seus clientes são valorizados e protegidos.

O atestado SOC 2 assegura que os fornecedores de serviços SaaS como a Appy Pie gerem os seus dados com segurança, para que o seu interesse e a privacidade dos seus clientes sejam sempre protegidos.

O cumprimento do SOC da Appy Pie é particularmente adequado para empresas que necessitam de controlar os seus relatórios financeiros internamente, e para mostrar os fornecedores que implementaram controlos internos durante as auditorias.

Pode fazer um pedido de “Não vender os meus dados” preenchendo este formulário.

ISO 22301:2019

Segurança social – Sistemas de gestão da continuidade do negócio – Requisitos, é uma norma de sistema de gestão que especifica requisitos para planear, estabelecer, implementar, operar, monitorizar, rever, manter e melhorar continuamente um sistema de gestão documentado para proteger contra, reduzir a probabilidade de ocorrência, preparar, responder e recuperar de incidentes perturbadores quando estes surgirem.

Temos certificação ISO 22301:2019 e estamos preparados para lidar e recuperar de qualquer incidente perturbador, se surgir algum.

  • Appy-Pie-LLPAppy-Pie-LLP

ISO 27001:2013

A certificação ISO 27001 é uma certificação para um sistema de gestão da segurança da informação (ISMS) – que é essencialmente um quadro de políticas e procedimentos. Inclui todos os controlos legais, físicos e técnicos relacionados com o processo de gestão de risco de informação de uma organização, com o objectivo de manter a informação segura.

Temos a certificação ISO 27001:2013 e estamos empenhados na identificação de riscos, avaliação de implicações, e na implementação de controlos sistematizados que inspirem confiança em tudo o que fazemos.

  • Appy-Pie-LLCAppy-Pie-LLC
  • ISO27001 Appy-Pie-LtdAppy-Pie-Ltd
  • ISO27001-LLPISO27001-LLP


Modelo de Acessibilidade de Produto Voluntário (VPAT)

Appy Pie criou um Modelo Voluntário de Acessibilidade de Produto (VPAT) que está de acordo com as Normas da Secção 508. Detalha cada aspecto dos requisitos da Secção 508 e a forma como apoiamos cada critério.

O nosso VPAT contém documentação sobre a Secção 508 (2017 Actualização), Web Content Accessibility Guidelines (WCAG) 2.0 Success Criteria & Conformance Requirements (Níveis A, AA, AAA) bem como as normas Europeias de Acessibilidade EN 301. Pode ver o relatório completo aqui.

GDPR

A Appy Pie está em conformidade com a GDPR e processa todos os dados pessoais em conformidade com as directrizes estabelecidas pelo regulamento aplicável aos serviços da Appy Pie e à plataforma.

A GDPR refere-se ao Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016 relativo à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Directiva 95/46/CE.

Pode fazer um pedido de “Não vender os meus dados” preenchendo este formulário.

Mecanismo de transferência de dados da UE

A GDPR aplica-se principalmente aos controladores e processadores localizados no Espaço Económico Europeu ou EEE e se os dados pessoais forem transferidos para fora do EEE, existe o risco de perder a protecção da GDPR. É por esta razão que a GDPR restringe a transferência de dados pessoais fora do EEE, a menos que os direitos dos indivíduos sejam protegidos de alguma forma. Até há pouco tempo, havia duas formas de o fazer – Escudo de Privacidade UE-EUA e Cláusulas Contratuais Padrão.

Contudo, num desenvolvimento recente, o Tribunal de Justiça da União Europeia invalidou o Quadro de Protecção da Privacidade UE-EUA para a transferência de dados. Contudo, as Cláusulas Contratuais Padrão ainda são válidas como ferramenta ou mecanismo de transferência de dados para processadores fora da UE, da Suíça ou do Reino Unido.

Na Appy Pie, temos em vigor Cláusulas Contratuais Padrão (CCS) para a transferência de dados, de modo a que todos os dados pessoais sejam protegidos. Nós, na Appy Pie, estamos empenhados em permitir que os nossos clientes prestem um serviço ao cliente responsável, implementando e aderindo a políticas de conformidade prescritas, tanto como controlador de dados como como como processador.

CCPA

A Lei da Privacidade do Consumidor da Califórnia é um estatuto estatal que visa reforçar os direitos de privacidade e protecção do consumidor para os residentes na Califórnia.

A Appy Pie está em conformidade com CCPA e é transparente sobre todos ou quaisquer dados pessoais recolhidos dos clientes através da plataforma. Para ler a política CCPA da Appy Pie, por favor clique aqui.

Pode fazer um pedido de “Não vender os meus dados” preenchendo este formulário.

Teste de Penetração, Vulnerabilidade Scanning & Patching

Como prática, nós, na Appy Pie, verificamos e aplicamos patches para software/serviços de terceiros. Caso alguma vez sejam descobertas quaisquer vulnerabilidades, aplicamos as correcções com a maior prioridade. Além disso, o scanning da vulnerabilidade é efectuado todos os meses utilizando os serviços do Inspector da Amazon.

Appy Pie obteve os testes de penetração feitos por peritos de terceiros – o Bispo Fox e o relatório relevante podem ser obtidos enviando um e-mail para [email protected]

Segurança Física e de Redes

Appy Pie tem o seu centro de desenvolvimento em NSEZ, Noida (Índia), e escritórios de vendas / apoio em Warrenton, Virginia (EUA) & Londres (Reino Unido) & Noida (Índia). O escritório está equipado com câmaras de vigilância e as suas filmagens são monitorizadas periodicamente por pessoal autorizado. Os alarmes de incêndio e os aspersores de água estão instalados para detectar e mitigar os danos na improvável eventualidade de um incêndio. Além disso, a equipa de gestão das instalações realiza regularmente exercícios de incêndio para educar os funcionários sobre os procedimentos de evacuação de emergência. O escritório está equipado com fonte de alimentação 24×7, apoiada por um sistema alternativo de alimentação ininterrupta para assegurar o bom funcionamento em caso de falha de energia.

Todas as aplicações na Appy Pie são criadas e alojadas nos Serviços Web da Amazon & a infra-estrutura para bases de dados e servidores de aplicações é gerida e mantida pela Amazon.

A primeira camada de protecção para a aplicação é fornecida pela firewall da AWS, que está equipada para combater ataques DDoS regulares e outras intrusões relacionadas com a rede. A segunda camada de protecção é oferecida pela firewall da própria aplicação Appy Pie que monitoriza os IPs, utilizadores, e spam. Vale a pena notar que todas as senhas de contas que são armazenadas na aplicação são de um só sentido e salgadas.

Appy Pie utiliza um modelo de dados multi-tenant para alojar todas as suas aplicações. É através de uma nuvem privada virtual individual que a Appy Pie presta serviços a cada aplicação onde é atribuída uma identificação única de inquilino a cada cliente. A aplicação é concebida e verificada para assegurar que apenas os dados do inquilino que está registado podem ser buscados. É este desenho estratégico que assegura que nenhum cliente possa aceder aos dados de outro cliente. O acesso à aplicação pela equipa de desenvolvimento de aplicações é também controlado, gerido e auditado. Cada vez que se acede à aplicação e à infra-estrutura, é criado um registo detalhado que é posteriormente auditado.

É bem-vindo a vir ao nosso local físico e examinar as medidas de segurança tomadas no local, marcando um encontro connosco através do e-mail [email protected].

Operações Administrativas

Sendo uma organização responsável e respeitada, estamos extremamente vigilantes quanto à protecção dos nossos dados e à manutenção da segurança dos dados dos nossos clientes. Os funcionários da organização só têm acesso ao escritório após autorização utilizando cartões inteligentes e as áreas sensíveis do escritório só podem ser acedidas por pessoal autorizado.

Protecção contra perda de dados

Como medida para proporcionar a melhor protecção de perda de dados, nós na Appy Pie utilizamos o líder mundial em protecção de perda de dados – Endpoint Protector da CoSoSys que impede qualquer transmissão inadequada de dados através de meios físicos ou digitais. Isto significa que os dados da empresa não podem ser copiados para qualquer outro dispositivo de armazenamento em massa, nem podem ser enviados por correio electrónico como anexo ou qualquer outra forma utilizando a sua poderosa Segurança.

Armazenamento de dados

A protecção e segurança dos dados dos clientes é um assunto sério para a Appy Pie, por isso, eles gerem a segurança da sua aplicação e dos dados dos clientes com sinceridade e responsabilidade. No entanto, o aprovisionamento e a gestão de acesso de aplicações individuais criadas utilizando a plataforma está ao critério dos proprietários de aplicações individuais.

A equipa de Desenvolvimento da Appy Pie não tem acesso aos dados nos servidores de produção, no entanto, quaisquer alterações à aplicação, infra-estrutura, conteúdo da web e processos de implementação são amplamente documentadas como parte de um processo interno de controlo de alterações.

A nossa plataforma recolhe informação limitada sobre os nossos clientes que inclui o seu nome, endereço de e-mail e telefone e estes detalhes são retidos apenas para a criação de uma conta. Stripe, o processador de pagamento compatível com o PCI da Appy Pie para pedidos de facturação & mantém o endereço postal dos clientes, juntamente com a data de expiração do cartão de crédito e CVV.

Appy Pie leva muito a sério a integridade e protecção dos dados dos clientes & mantém dois tipos de histórico de dados: registos de aplicação do sistema, e dados de aplicação & dados dos clientes. Todos estes dados são armazenados na plataforma de computação em nuvem da Amazon, AWS e cópias de segurança são recolhidos de seis em seis horas em múltiplos locais.

As cópias de segurança das bases de dados são feitas diariamente e mantidas por um período de 35 dias. Os dados dos clientes são apoiados de duas maneiras:

  1. Um backup contínuo é mantido em diferentes centros de dados no caso de falha de um sistema no centro de dados primário. É devido ao robusto backup, que no caso de uma catástrofe improvável em qualquer um dos centros de dados, os nossos clientes perderiam apenas cinco minutos de dados.

  2. Os dados são armazenados de forma persistente todos os dias e retidos durante 15 dias.

Na Europa e Estados Unidos, os padrões AES 256bit (força da chave – 1024) são utilizados para encriptar os dados em repouso, com o AWS Key Management Service a gerir as chaves. A codificação padrão FIPS-140-2 sobre uma ligação de tomada segura, é utilizada para codificar todos os dados em trânsito, para todas as contas alojadas em appypie.com. Além disso, existe uma opção disponível para as contas que estão alojadas em domínios independentes, que permite uma ligação de socket segura.

Diversos ambientes são utilizados para efeitos de desenvolvimento e testes, existe um sistema de gestão rigoroso para acesso aos sistemas com base na necessidade de fazer/conhecer de acordo com a classificação da informação, onde a Segregação de Deveres é integrada, & revista numa base trimestral.

Segurança Móvel

Como prática, nós, na Appy Pie, usamos a solução Mobile Application Security Testing (MAST) da Kryptowire para tornar todas as aplicações Appy Pie seguras e assegurar a privacidade dos dados para todos os utilizadores da nossa plataforma.

Utilizamos Kryptowire para avaliar continuamente a segurança e privacidade de qualquer dispositivo móvel em relação às mais elevadas normas de garantia de software internacionalmente reconhecidas publicadas por
– O Instituto Nacional de Normas e Tecnologias (NIST)
– Parceria Nacional de Garantia de Informação (NIAP)
– Projecto de Segurança de Aplicação Web Aberta (OWASP)

Eliminação ou Redundância de Dados

Ao apagar uma conta, todos os dados a ela associados são destruídos no prazo de 14 dias úteis. Se, no entanto, um titular de conta quiser o backup dos seus dados, os produtos Appy Pie oferecem opções de exportação de dados.

Comunicação de problemas e ameaças

No caso de encontrar quaisquer problemas, incidentes de segurança (como violações e potenciais vulnerabilidades) ou falhas que possam afectar a segurança dos dados ou a privacidade dos utilizadores do Appy Pie, por favor contacte-nos e escreva para [email protected] citando as suas preocupações & detalhes, para que possamos começar a trabalhar nisso o mais cedo possível.

O seu pedido será analisado imediatamente, onde poderemos chegar até si e pedir a sua orientação para identificar ou replicar a questão e determinar meios ou conceber estratégias para resolver a ameaça de imediato.

A empresa tem uma política de privacidade, aprovada por um consultor jurídico interno, disponível publicamente em https://www.appypie.com/privacy-policy & a porta de pagamento (Stripe) utilizada pela Appy Pie é conforme ao PCI.