Почему безопасность данных имеет решающее значение и что это значит для Appy Pie?

В цифровом мире безопасность данных имеет решающее значение не только для наших клиентов, но и для их клиентов. Уязвимость данных на любом этапе может привести к серьезным последствиям для всей экосистемы.

Как владелец бизнеса, когда вы выбираете сервис или платформу для предложения своих товаров и услуг клиентам, вы, по сути, выбираете связующее звено между вами и клиентами. Вот почему важно, чтобы платформа придерживалась оптимальных стандартов безопасности и имела соответствующую сертификацию для обеспечения защиты всех тех конфиденциальных данных, которые вы собираете. Эти данные могут включать адреса электронной почты, физические адреса, контактные телефоны, платежную информацию или любые другие подобные конфиденциальные данные.

Вы несете ответственность перед своими клиентами за то, чтобы любые данные, которые они предоставляют в процессе работы, хранились в безопасности, обрабатывались этично и никогда не передавались никому без их ведома или согласия.

В Appy Pie мы принимаем строгие меры безопасности и стремимся к тому, чтобы в наших процессах не было уязвимостей ни на одном этапе. AppyPie.com поможет вам обеспечить безопасность корпоративного класса и соответствие нормативным требованиям для ваших клиентов при каждом взаимодействии.

Ниже перечислены сертификаты и меры соответствия, принятые AppyPie.com для обеспечения защиты наших клиентов и ваших клиентов от любых недобросовестных действий.

Соответствие стандарту PCI DSS

Платежный шлюз, используемый компанией Appy Pie, соответствует стандарту PCI DSS. Мы вступили в 2019 год с беспокойством и трепетом по поводу уязвимости данных, утечек и брешей. Именно поэтому безопасность продолжает оставаться актуальной темой и предметом общественного беспокойства.

Компания Appy Pie берет на себя ответственность за то, чтобы платежная информация своих клиентов всегда была под надежной защитой. Stripe, PCI-совместимый платежный процессор Appy Pie для выставления счетов, сохраняет почтовый адрес клиента, а также дату окончания срока действия кредитной карты и CVV.

Вы можете разместить запрос “Не продавать мои данные”, заполнив эту форму.

Аттестация SOC 2

Наши клиенты доверяют нашей платформе настолько, что позволяют нам управлять такими важными процессами, как выставление счетов, счетов-фактур и т.д., а мы в свою очередь гарантируем, что их интересы и конфиденциальность их клиентов ценятся и защищены.

Аттестация SOC 2 гарантирует, что поставщики услуг SaaS, такие как Appy Pie, надежно управляют вашими данными, так что ваши интересы и конфиденциальность ваших клиентов всегда защищены.

SOC compliance компании Appy Pie особенно подходит для предприятий, которым необходимо контролировать финансовую отчетность внутри компании, а также для демонстрации поставщиков, развернувших систему внутреннего контроля, во время аудита.

Вы можете разместить запрос “Не продавать мои данные”, заполнив эту форму.

ISO 22301:2019

Общественная безопасность – Системы менеджмента непрерывности бизнеса – Требования, является стандартом системы менеджмента, который определяет требования к планированию, созданию, внедрению, эксплуатации, мониторингу, обзору, поддержанию и постоянному улучшению документированной системы менеджмента для защиты от, снижения вероятности возникновения, подготовки к, реагирования и восстановления после разрушительных инцидентов, когда они возникают.

Мы сертифицированы по стандарту ISO 22301:2019 и готовы справиться и восстановиться после любого разрушительного инцидента, если таковой возникнет.

ISO 27001:2013

Сертификация ISO 27001 – это сертификация системы управления информационной безопасностью (ISMS), которая, по сути, представляет собой систему политик и процедур. Она включает в себя все юридические, физические и технические средства контроля, связанные с процессом управления информационными рисками организации, направленные на обеспечение безопасности информации.

Мы сертифицированы по стандарту ISO 27001:2013 и стремимся выявлять риски, оценивать последствия и внедрять систематизированные средства контроля, которые вызывают доверие ко всему, что мы делаем.

Добровольный шаблон доступности продукции (VPAT)

Компания Appy Pie создала добровольный шаблон доступности продукта (VPAT), который соответствует Стандартам Раздела 508. В нем подробно описывается каждый аспект требований Раздела 508 и то, как мы поддерживаем каждый критерий.

Наш VPAT содержит документацию по разделу 508 (2017 Refresh), Руководству по доступности веб-контента (WCAG) 2.0 Success Criteria & Conformance Requirements (Levels A, AA, AAA), а также европейским стандартам доступности EN 301. Вы можете просмотреть весь отчет здесь.

GDPR

Компания Appy Pie соблюдает GDPR и обрабатывает все персональные данные в соответствии с правилами, установленными этим регламентом, которые применимы к услугам и платформе Appy Pie.

GDPR означает Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных и отменяющий Директиву 95/46/EC.

Вы можете разместить запрос “Не продавать мои данные”, заполнив эту форму.

Механизм передачи данных ЕС

GDPR применяется в первую очередь к контроллерам и процессорам, расположенным в Европейской экономической зоне или ЕЭЗ, и если персональные данные передаются за пределы ЕЭЗ, существует риск потери защиты GDPR. Именно по этой причине GDPR ограничивает передачу персональных данных за пределы ЕЭЗ, за исключением случаев, когда права физических лиц защищены каким-либо образом. До недавнего времени существовало два способа сделать это – Щит конфиденциальности ЕС-США и Стандартные договорные оговорки.

Однако недавно Суд Европейского Союза признал недействительной рамочную программу ЕС-США Privacy Shield Framework для передачи данных. Тем не менее, стандартные договорные оговорки все еще действуют в качестве инструмента или механизма передачи данных процессорам за пределами ЕС, Швейцарии или Великобритании.

В компании Appy Pie действуют стандартные договорные положения (SCC) о передаче данных, что обеспечивает защиту всех персональных данных. Мы, компания Appy Pie, стремимся предоставить нашим клиентам возможность ответственного обслуживания клиентов путем внедрения и соблюдения предписанной политики соответствия, как в качестве контроллера данных, так и в качестве процессора.

CCPA

Калифорнийский закон о конфиденциальности потребителей – это закон штата, направленный на усиление прав на конфиденциальность и защиту прав потребителей для жителей Калифорнии.

Appy Pie соблюдает CCPA и прозрачно относится ко всем или любым персональным данным, собранным от клиентов через платформу. Чтобы ознакомиться с политикой CCPA компании Appy Pie, пожалуйста, нажмите здесь.

Вы можете разместить запрос “Не продавать мои данные”, заполнив эту форму.

Тест на проникновение, сканирование и исправление уязвимостей

Как правило, мы, в Appy Pie, проверяем и применяем исправления для программного обеспечения/сервисов сторонних производителей. В случае обнаружения каких-либо уязвимостей мы применяем исправления с наивысшим приоритетом. Кроме того, каждый месяц проводится сканирование уязвимостей с помощью услуг Amazon Inspector.

Компания Appy Pie провела тестирование на проникновение силами сторонних экспертов – Bishop Fox, и соответствующий отчет можно получить, отправив письмо по адресу [email protected].

Физическая и сетевая безопасность

Центр разработки Appy Pie находится в NSEZ, Ноида (Индия), а офисы продаж/поддержки – в Уоррентоне, Вирджиния (США), Лондоне (Великобритания) и Ноиде (Индия). Офис оборудован камерами наблюдения, записи с которых периодически контролируются уполномоченным персоналом. Пожарная сигнализация и водяные спринклеры установлены для обнаружения и уменьшения ущерба в маловероятном случае пожара. Кроме того, регулярно проводятся противопожарные учения, которые проводит команда по управлению помещениями, чтобы ознакомить сотрудников с процедурами экстренной эвакуации. Офис оборудован системой электроснабжения 24×7, поддерживаемой альтернативной системой бесперебойного питания для обеспечения бесперебойной работы в случае отключения электроэнергии.

Все приложения в Appy Pie создаются и размещаются на Amazon Web Services, а инфраструктура баз данных и серверов приложений управляется и поддерживается Amazon.

Первый уровень защиты приложения обеспечивается брандмауэром AWS, который оборудован для противодействия регулярным DDoS-атакам и другим вторжениям, связанным с сетью. Второй уровень защиты обеспечивается собственным брандмауэром приложений Appy Pie, который отслеживает нежелательные IP-адреса, пользователей и спам. Стоит отметить, что все пароли учетных записей, которые хранятся в приложении, подвергаются одностороннему хешированию и солевому анализу.

Appy Pie использует многопользовательскую модель данных для размещения всех своих приложений. Именно через индивидуальное виртуальное частное облако Appy Pie обслуживает каждое приложение, при этом каждому клиенту присваивается уникальный идентификатор арендатора. Приложение разработано и проверено таким образом, чтобы обеспечить получение данных только для того арендатора, который вошел в систему. Именно эта стратегическая конструкция гарантирует, что ни один клиент не сможет получить доступ к данным другого клиента. Доступ к приложению со стороны команды разработчиков приложений также контролируется, управляется и проверяется. При каждом обращении к приложению и инфраструктуре создается подробный журнал, который впоследствии подвергается аудиту.

Вы можете приехать к нам на объект и ознакомиться с мерами безопасности, принятыми на объекте, договорившись о встрече с нами по электронной почте [email protected].

Административные операции

Будучи ответственной и уважаемой организацией, мы тщательно следим за защитой своих данных и данных наших клиентов. Сотрудники организации получают доступ в офис только после авторизации с помощью смарт-карт, а доступ к конфиденциальным зонам офиса может осуществляться только уполномоченным персоналом.

Защита от потери данных

В качестве меры по обеспечению оптимальной защиты от потери данных, мы в Appy Pie используем мирового лидера в области защиты от потери данных – Endpoint Protector от CoSoSys, который предотвращает любую ненадлежащую передачу данных с помощью физических или цифровых средств. Это означает, что данные компании не могут быть скопированы на любое другое устройство хранения данных, а также не могут быть разосланы по электронной почте в виде вложений или в любой другой форме с использованием их мощной системы безопасности.

Хранение данных

Защита и безопасность данных клиентов является серьезным вопросом для Appy Pie, поэтому они искренне и ответственно относятся к безопасности своих приложений и данных клиентов. Однако предоставление и управление доступом к отдельным приложениям, созданным с использованием платформы, остается на усмотрение владельцев отдельных приложений.

Команда разработчиков Appy Pie не имеет доступа к данным на производственных серверах, однако любые изменения в приложении, инфраструктуре, веб-контенте и процессах развертывания тщательно документируются в рамках внутреннего процесса контроля изменений.

Наша платформа собирает ограниченную информацию о наших клиентах, которая включает их имя, адрес электронной почты и телефон, и эти данные сохраняются только для создания учетной записи. Stripe, PCI-совместимый платежный процессор Appy Pie для выставления счетов, сохраняет почтовый адрес клиента, а также дату окончания срока действия кредитной карты и CVV.

Appy Pie очень серьезно относится к целостности и защите данных клиентов и ведет два вида истории данных: журналы приложений из системы и данные приложений и клиентов. Все эти данные хранятся на современной облачной вычислительной платформе Amazon AWS, а резервные копии делаются каждые шесть часов в нескольких местах.

Резервные копии баз данных создаются ежедневно и хранятся в течение 35 дней. Резервное копирование данных клиентов осуществляется двумя способами:

В разных центрах данных поддерживается непрерывное резервное копирование в случае отказа системы в основном центре данных. Именно благодаря надежному резервному копированию, в случае маловероятной катастрофы в любом из центров обработки данных, наши клиенты потеряют всего пять минут данных.
Резервное копирование данных в постоянное хранилище осуществляется ежедневно и сохраняется в течение 15 дней.

В Европе и США для шифрования данных в состоянии покоя используется 256-битный стандарт AES (сила ключа – 1024), а управление ключами осуществляется службой управления ключами AWS Key Management Service. Шифрование по стандарту FIPS-140-2 через защищенное сокетное соединение используется для шифрования всех данных при передаче для всех учетных записей, размещенных на appypie.com. Кроме того, для счетов, размещенных на независимых доменах, доступна опция, позволяющая использовать защищенное сокет-соединение.

Для разработки и тестирования используются различные среды, действует строгая система управления доступом к системам на основе необходимости/знания в соответствии с классификацией информации, где разделение обязанностей встроено и пересматривается на ежеквартальной основе.

Мобильная безопасность

Мы в Appy Pie используем решение Kryptowire для тестирования безопасности мобильных приложений (MAST), чтобы сделать все приложения Appy Pie безопасными и обеспечить конфиденциальность данных для всех пользователей нашей платформы.

Мы используем Kryptowire для постоянной оценки безопасности и конфиденциальности любого мобильного устройства в соответствии с самыми высокими международно признанными стандартами обеспечения безопасности программного обеспечения, опубликованными
– Национальный институт стандартов и технологий (NIST)
– Национальное партнерство по обеспечению информационной безопасности (NIAP)
– Открытый проект по безопасности веб-приложений (OWASP)

Удаление или резервирование данных

При удалении аккаунта все связанные с ним данные уничтожаются в течение 14 рабочих дней. Однако если владелец аккаунта хочет создать резервную копию своих данных, продукты Appy Pie предлагают опции экспорта данных.

Сообщение о проблемах и угрозах

В случае возникновения каких-либо проблем, инцидентов безопасности (например, нарушений и потенциальных уязвимостей) или недостатков, которые могут повлиять на безопасность данных или конфиденциальность пользователей Appy Pie, пожалуйста, свяжитесь с нами и напишите на адрес [email protected], указав свои опасения и подробности, чтобы мы могли как можно скорее приступить к решению проблемы.

Ваш запрос будет рассмотрен немедленно, и мы можем связаться с вами и попросить вашей помощи в выявлении или воспроизведении проблемы и определении средств или разработке стратегии для немедленного устранения угрозы.

Компания имеет политику конфиденциальности, одобренную внутренним юрисконсультом и доступную в открытом доступе на сайте https://www.appypie.com/privacy-policy, а платежный шлюз (Stripe), используемый Appy Pie, соответствует стандарту PCI.