Protecția și securitatea datelor

De ce este esențială securitatea datelor și ce înseamnă aceasta la Appy Pie?

În lumea digitală, importanța securității datelor este critică, nu doar pentru clienții noștri, ci și pentru clienții lor. Vulnerabilitatea datelor în orice etapă poate avea consecințe grave pentru întregul ecosistem.

În calitate de proprietar de afacere, atunci când alegeți un serviciu sau o platformă pentru a vă oferi produsele și serviciile clienților, alegeți, în esență, legătura dintre dumneavoastră și clienți. De aceea, este important ca platforma să adere la standarde de securitate optime și să aibă certificarea potrivită pentru a asigura protecția tuturor datelor sensibile pe care le colectați din datele dumneavoastră. Aceste date pot include adrese de e-mail, adrese fizice, numere de contact, informații de plată sau orice alte date sensibile de acest tip.

Aveți o responsabilitate față de clienții dvs., care trebuie să se asigure că toate datele pe care aceștia le furnizează pe parcursul activității sunt păstrate în siguranță, sunt tratate în mod etic și nu sunt niciodată comunicate nimănui fără știrea sau consimțământul lor.

La Appy Pie, luăm măsuri stricte de securitate și suntem dedicați să ne asigurăm că nu există vulnerabilități în procesele noastre în nicio etapă. AppyPie.com vă ajută să oferiți clienților dumneavoastră securitate și conformitate de nivel enterprise prin fiecare interacțiune.

Mai jos sunt enumerate certificările și măsurile de conformitate luate de AppyPie.com pentru a se asigura că clienții noștri și clienții dumneavoastră sunt protejați de orice activități lipsite de scrupule.

Conformitate PCI DSS

Gateway-ul de plată utilizat de Appy Pie este conform PCI DSS. Am intrat în 2019 cu îngrijorare și neliniște cu privire la vulnerabilitatea datelor, breșele și scurgerile de informații. Acesta este motivul pentru care securitatea continuă să fie un subiect fierbinte și o problemă de interes public.

Appy Pie își asumă responsabilitatea de a se asigura că informațiile de plată ale clienților lor sunt protejate în orice moment. Stripe, procesatorul de plăți conform PCI al Appy Pie pentru cererile de facturare, reține adresa poștală a clienților, împreună cu data expirării cardului de credit și CVV.

Puteți solicita “Nu-mi vindeți datele” prin completarea acestui formular.

SOC 2 Attestare

Clienții noștri au suficientă încredere în platforma noastră pentru a ne lăsa să ne ocupăm de procesele lor critice, cum ar fi facturarea, facturarea și multe altele, iar în schimb îi asigurăm că interesele lor și confidențialitatea clienților lor sunt prețuite și protejate.

Certificarea SOC 2 garantează că furnizorii de servicii SaaS, cum ar fi Appy Pie, gestionează în siguranță datele dumneavoastră, astfel încât interesul dumneavoastră și confidențialitatea clienților dumneavoastră să fie întotdeauna protejate.

Conformitatea SOC de la Appy Pie este deosebit de potrivită pentru întreprinderile care trebuie să își controleze rapoartele financiare la nivel intern și pentru a prezenta furnizorii care au implementat controale interne în timpul auditurilor.

Puteți solicita “Nu-mi vindeți datele” prin completarea acestui formular.

ISO 22301:2019

Securitatea societală – Sisteme de management al continuității activității – Cerințe, este un standard de sistem de management care specifică cerințele pentru planificarea, stabilirea, implementarea, operarea, monitorizarea, revizuirea, întreținerea și îmbunătățirea continuă a unui sistem de management documentat pentru a proteja împotriva incidentelor perturbatoare, a reduce probabilitatea de apariție, a se pregăti, a răspunde și a se reface atunci când acestea apar.

Suntem certificați ISO 22301:2019 și suntem pregătiți să gestionăm și să ne revenim în urma oricărui incident perturbator, dacă acesta ar trebui să apară.

  • Appy-Pie-LLPAppy-Pie-LLP

ISO 27001:2013

Certificarea ISO 27001 este o certificare pentru un sistem de management al securității informațiilor (SMSI) – care este, în esență, un cadru de politici și proceduri. Acesta include toate controalele juridice, fizice și tehnice legate de procesul de gestionare a riscului informațional al unei organizații, care vizează menținerea securității informațiilor.

Suntem certificați ISO 27001:2013 și ne angajăm să identificăm riscurile, să evaluăm implicațiile și să punem în aplicare controale sistematizate care să inspire încredere în tot ceea ce facem.

  • Appy-Pie-LLCAppy-Pie-LLC
  • ISO27001 Appy-Pie-LtdAppy-Pie-Ltd
  • ISO27001-LLPISO27001-LLP


Modelul voluntar de accesibilitate a produselor (VPAT)

Appy Pie a creat un Model voluntar de accesibilitate a produselor (VPAT) care este în conformitate cu standardele Secțiunii 508. Acesta detaliază fiecare aspect al cerințelor Secțiunii 508 și modul în care susținem fiecare criteriu.

VPAT-ul nostru conține documentație privind Secțiunea 508 (Actualizare 2017), Ghidul de accesibilitate a conținutului web (WCAG) 2.0 Criterii de succes și cerințe de conformitate (Nivelurile A, AA, AAA), precum și standardele europene de accesibilitate EN 301. Puteți vizualiza întregul raport aici.

GDPR

Appy Pie este în conformitate cu GDPR și prelucrează toate datele cu caracter personal în conformitate cu liniile directoare stabilite de regulamentul care se aplică serviciilor și platformei Appy Pie.

GDPR se referă la Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.

Puteți solicita “Nu-mi vindeți datele” prin completarea acestui formular.

Mecanismul UE de transfer de date

GDPR se aplică în primul rând operatorilor și persoanelor împuternicite de către operator situate în Spațiul Economic European sau SEE, iar dacă datele cu caracter personal sunt transferate în afara SEE, există riscul de a pierde protecția GDPR. Din acest motiv, GDPR restricționează transferul de date cu caracter personal în afara SEE, cu excepția cazului în care drepturile persoanelor fizice sunt protejate în vreun fel. Până de curând, existau două modalități de a face acest lucru – Scutul de confidențialitate UE-SUA și clauzele contractuale standard.

Cu toate acestea, într-o evoluție recentă, Curtea de Justiție a Uniunii Europene a invalidat Cadrul privind transferul de date UE-SUA privind scutul de confidențialitate. Cu toate acestea, clauzele contractuale standard sunt încă valabile ca instrument sau mecanism pentru transferul de date către persoanele împuternicite de către terți în afara UE, Elveția sau Regatul Unit.

La Appy Pie, dispunem de clauze contractuale standard (SCC) pentru transferul de date, astfel încât toate datele cu caracter personal să fie protejate. Noi, cei de la Appy Pie, ne angajăm să le permitem clienților noștri să furnizeze servicii de asistență pentru clienți în mod responsabil prin implementarea și respectarea politicilor de conformitate prescrise, atât în calitate de operator de date, cât și de persoană împuternicită de către operator.

CCPA

California Consumer Privacy Act (Legea privind confidențialitatea consumatorilor din California) este o lege de stat care are ca scop consolidarea drepturilor la confidențialitate și protecția consumatorilor pentru rezidenții din California.

Appy Pie este în conformitate cu CCPA și este transparentă cu privire la toate sau orice date personale colectate de la clienți prin intermediul platformei. Pentru a citi politica CCPA a Appy Pie, vă rugăm să faceți clic aici.

Puteți solicita “Nu-mi vindeți datele” prin completarea acestui formular.

Test de penetrare, scanare a vulnerabilității și patch-uri

Ca o practică, noi, la Appy Pie, verificăm și aplicăm patch-uri pentru software-ul/serviciile terților. În cazul în care sunt descoperite vulnerabilități, aplicăm corecțiile cu prioritate maximă. De asemenea, scanarea vulnerabilităților este efectuată în fiecare lună cu ajutorul serviciilor Amazon Inspector.

Appy Pie a obținut testele de penetrare efectuate de experți terți – Bishop Fox, iar raportul relevant poate fi obținut prin trimiterea unui e-mail la [email protected].

Securitatea fizică și a rețelelor

Appy Pie își are centrul de dezvoltare în NSEZ, Noida (India), iar birourile de vânzări / asistență în Warrenton, Virginia (SUA), Londra (Marea Britanie) și Noida (India). Biroul este dotat cu camere de supraveghere, iar imaginile filmate de acestea sunt monitorizate periodic de către personalul autorizat. Există alarme de incendiu și aspersoare cu apă pentru a detecta și a reduce pagubele în cazul improbabil al unui incendiu. În plus, echipa de gestionare a spațiilor organizează periodic exerciții de evacuare în caz de incendiu pentru a instrui angajații cu privire la procedurile de evacuare de urgență. Biroul este dotat cu o sursă de alimentare cu energie electrică 24×7, susținută de un sistem alternativ de alimentare neîntreruptă cu energie electrică pentru a asigura o funcționare fără probleme în cazul unei pene de curent.

Toate aplicațiile de la Appy Pie sunt create și găzduite pe Amazon Web Services, iar infrastructura pentru bazele de date și serverele de aplicații este gestionată și întreținută de Amazon.

Primul nivel de protecție pentru aplicație este asigurat de firewall-ul AWS, care este echipat pentru a contracara atacurile DDoS obișnuite și alte intruziuni legate de rețea. Al doilea nivel de protecție este oferit de propriul firewall de aplicații al Appy Pie, care monitorizează IP-urile, utilizatorii și spam-ul ofensator. Este de remarcat faptul că toate parolele de cont care sunt stocate în aplicație sunt hașurate și sărate într-un singur sens.

Appy Pie folosește un model de date multi-tenant pentru a găzdui toate aplicațiile sale. Appy Pie oferă servicii pentru fiecare aplicație prin intermediul unui cloud privat virtual individual, în cadrul căruia fiecărui client i se atribuie un ID de chiriaș unic. Aplicația este proiectată și verificată pentru a se asigura că pot fi preluate numai datele pentru chiriașul care este conectat. Această concepție strategică este cea care garantează că niciun client nu poate accesa datele altui client. Accesul la aplicație al echipei de dezvoltare a aplicației este, de asemenea, controlat, gestionat și auditat. De fiecare dată când aplicația și infrastructura sunt accesate, se creează un jurnal detaliat, care este auditat ulterior.

Sunteți binevenit să veniți la locația noastră fizică și să examinați măsurile de securitate luate la fața locului, stabilind o întâlnire cu noi prin e-mail la [email protected].

Operațiuni administrative

Fiind o organizație responsabilă și respectată, suntem extrem de vigilenți în ceea ce privește protejarea datelor noastre și păstrarea datelor clienților noștri în siguranță. Angajații organizației au acces la birou numai după autorizare cu ajutorul cardurilor inteligente, iar zonele sensibile ale biroului pot fi accesate numai de către personalul autorizat.

Protecția împotriva pierderilor de date

Ca o măsură pentru a asigura o protecție optimă împotriva pierderii de date, noi, la Appy Pie, folosim liderul mondial în protecția împotriva pierderii de date – Endpoint Protector de la CoSoSys, care previne orice transmitere necorespunzătoare de date prin mijloace fizice sau digitale. Aceasta înseamnă că datele din companie nu pot fi copiate pe niciun alt dispozitiv de stocare în masă și nici nu pot fi trimise prin e-mail ca atașament sau sub orice altă formă, utilizând securitatea lor puternică.

Stocarea datelor

Protecția și securitatea datelor clienților este o chestiune serioasă pentru Appy Pie, prin urmare, ei gestionează securitatea aplicației sale și a datelor clienților cu sinceritate și responsabilitate. Cu toate acestea, furnizarea și gestionarea accesului la aplicațiile individuale create cu ajutorul platformei este la discreția proprietarilor de aplicații individuale.

Echipa de dezvoltare de la Appy Pie nu are acces la datele de pe serverele de producție, însă orice modificare a aplicației, a infrastructurii, a conținutului web și a proceselor de implementare este documentată pe larg ca parte a unui proces intern de control al modificărilor.

Platforma noastră colectează informații limitate despre clienții noștri, care includ numele, adresa de e-mail și telefonul acestora, iar aceste detalii sunt păstrate doar pentru crearea contului. Stripe, procesatorul de plăți conform PCI al Appy Pie pentru cererile de facturare, reține adresa poștală a clienților, împreună cu data expirării cardului de credit și CVV.

Appy Pie ia foarte în serios integritatea și protecția datelor clienților și păstrează două tipuri de istoric de date: jurnalele aplicațiilor din sistem și datele aplicațiilor și ale clienților. Toate aceste date sunt stocate pe platforma de ultimă generație de cloud computing a Amazon, AWS, iar copiile de rezervă sunt efectuate la fiecare șase ore în mai multe locații.

Copiile de rezervă ale bazelor de date sunt copiate zilnic și menținute pentru o perioadă de 35 de zile. Datele clienților sunt susținute în două moduri:

  1. O copie de rezervă continuă este menținută în diferite centre de date în cazul unei defecțiuni a sistemului în centrul de date principal. Datorită backup-ului robust, în cazul unei catastrofe improbabile în oricare dintre centrele de date, clienții noștri ar pierde doar cinci minute de date.

  2. Datele sunt copiate zilnic pe un sistem de stocare persistent și sunt păstrate timp de 15 zile.

În Europa și în Statele Unite, standardele AES pe 256 de biți (puterea cheii – 1024) sunt utilizate pentru a cripta datele în repaus, iar AWS Key Management Service gestionează cheile. Criptarea standard FIPS-140-2 printr-o conexiune securizată este utilizată pentru a cripta toate datele în tranzit, pentru toate conturile găzduite pe appypie.com. În plus, există o opțiune disponibilă pentru conturile care sunt găzduite pe domenii independente, care permite o conexiune securizată.

În scopul dezvoltării și al testării sunt utilizate medii diverse, este în vigoare un sistem de gestionare strictă a accesului la sisteme, pe baza principiului necesității de a face/conștientiza în funcție de clasificarea informațiilor, în cadrul căruia segregarea atribuțiilor este integrată și revizuită trimestrial.

Securitate mobilă

Ca o practică, noi, la Appy Pie, folosim soluția Kryptowire Mobile Application Security Testing (MAST) pentru a face ca toate aplicațiile Appy Pie să fie sigure și pentru a asigura confidențialitatea datelor pentru toți utilizatorii platformei noastre.

Utilizăm Kryptowire pentru a evalua în permanență securitatea și confidențialitatea oricărui dispozitiv mobil în raport cu cele mai înalte standarde de asigurare a software-ului recunoscute la nivel internațional, publicate de către
– Institutul Național de Standarde și Tehnologii (NIST)
– Parteneriatul național pentru asigurarea securității informațiilor (NIAP)
– Proiectul deschis de securitate a aplicațiilor web (OWASP)

Ștergerea sau redundanța datelor

La ștergerea unui cont, toate datele asociate acestuia sunt distruse în termen de 14 zile lucrătoare. Cu toate acestea, dacă un titular de cont dorește să facă o copie de rezervă a datelor sale, produsele Appy Pie oferă opțiuni de export de date.

Raportarea problemelor și amenințărilor

În cazul în care întâmpinați probleme, incidente de securitate (cum ar fi breșe și potențiale vulnerabilități) sau defecte care ar putea afecta securitatea datelor sau confidențialitatea utilizatorilor Appy Pie, vă rugăm să ne contactați și să ne scrieți la [email protected], menționând preocupările și detaliile, astfel încât să putem lucra cât mai curând.

Solicitarea dvs. va fi analizată imediat, iar noi vă vom contacta și vă vom solicita îndrumarea în identificarea sau reproducerea problemei și în determinarea mijloacelor sau elaborarea de strategii pentru a rezolva imediat amenințarea.

Compania are o politică de confidențialitate, aprobată de un consilier juridic intern, disponibilă public la https://www.appypie.com/privacy-policy și gateway-ul de plată (Stripe) utilizat de Appy Pie este conform PCI.