数据保护和数据安全

为什么数据安全至关重要,这对 Appy Pie 意味着什么?

在数字世界中,数据安全的重要性至关重要,不仅对我们的客户,对他们的客户也是如此。 任何阶段的数据漏洞都可能给整个生态系统带来严重后果。

作为企业主,当您选择服务或平台向客户提供产品和服务时,您实质上是在选择您与客户之间的联系。 这就是为什么该平台必须遵守最佳安全标准并拥有正确的认证来保护您从数据中收集的所有敏感数据的原因。 此数据可能包括电子邮件地址、实际地址、联系电话、付款信息或任何其他此类敏感数据。

您对您的客户负有责任,确保他们在业务过程中提供的任何此类数据都是安全的,以合乎道德的方式处理,并且在未经他们知情或同意的情况下绝不会与任何人共享。

在 Appy Pie,我们采取严格的安全措施,并致力于确保我们的流程在任何阶段都没有漏洞。 AppyPie.com 可帮助您通过每次互动向客户提供企业级安全性和合规性。

下面列出了 AppyPie.com 为确保我们的客户和您的客户免受任何不道德活动而采取的认证和合规措施。

PCI DSS 合规性

Appy Pie 使用的支付网关符合 PCI DSS。 进入 2019 年,我们对数据漏洞、违规和泄漏感到担忧和恐惧。 这就是为什么安全仍然是一个热门话题和公众关注的问题。

Appy Pie 自行确保客户的付款信息始终受到保护。 Stripe,Appy Pie 的 PCI 兼容支付处理器,用于计费请求并保留客户的邮政地址,以及信用卡和 CVV 的到期日期。

您可以通过填写此表格提出“不要出售我的数据”请求。

SOC 2 证明

我们的客户非常信任我们的平台,可以让我们处理他们的关键流程,如计费、发票等,作为回报,我们向他们保证他们的利益和客户的隐私受到重视和保护。

SOC 2 认证可确保 Appy Pie 等 SaaS 服务提供商安全地管理您的数据,从而始终保护您的利益和客户的隐私。

Appy Pie 的 SOC 合规性特别适合需要在内部控制其财务报告并展示在审计期间部署了内部控制的供应商的企业。

您可以通过填写此表格提出“不要出售我的数据”请求。

ISO 22301:2019

社会安全 – 业务连续性管理体系 – 要求,是一种管理体系标准,规定了计划、建立、实施、操作、监控、审查、维护和持续改进文件化管理体系的要求,以防止、降低发生的可能性、准备当破坏性事件发生时,应对、响应并从破坏性事件中恢复。

我们已通过 ISO 22301:2019 认证,并准备好处理任何破坏性事件并从中恢复(如果发生)。

  • Appy-Pie-LLPAppy-Pie-LLP

ISO 27001:2013

ISO 27001 认证是对信息安全管理系统 (ISMS) 的认证,它本质上是一个政策和程序框架。 它包括与组织的信息风险管理流程相关的所有法律、物理和技术控制,旨在确保信息安全。

我们通过了 ISO 27001:2013 认证,并致力于风险识别、影响评估,并实施系统化控制,以激发人们对我们所做的一切的信任。

  • Appy-Pie-LLCAppy-Pie-LLC
  • ISO27001 Appy-Pie-LtdAppy-Pie-Ltd
  • ISO27001-LLPISO27001-LLP


自愿产品可访问性模板 (VPAT)

Appy Pie 创建了符合第 508 节标准的自愿产品可访问性模板 (VPAT)。 它详细介绍了第 508 节要求的各个方面以及我们如何支持每个标准。

我们的 VPAT 包含有关第 508 节(2017 年更新)、Web 内容可访问性指南 (WCAG) 2.0 成功标准和一致性要求(A、AA、AAA 级)以及欧洲可访问性标准 EN 301 的文档。 您可以在此处查看整个报告。

GDPR

Appy Pie 遵守 GDPR,并根据适用于 Appy Pie 服务和平台的法规规定的准则处理所有个人数据。

GDPR 指 2016 年 4 月 27 日欧洲议会和理事会关于在处理个人数据和此类数据的自由流动方面保护自然人的条例 (EU) 2016/679,并废除指令 95 /46/EC。

您可以通过填写此表格提出“不要出售我的数据”请求。

欧盟数据传输机制

GDPR 主要适用于位于欧洲经济区或 EEA 的控制者和处理者,如果个人数据被转移出 EEA,则存在失去 GDPR 保护的风险。 正是出于这个原因,GDPR 限制个人数据在 EEA 之外的传输,除非个人的权利以某种方式受到保护。 直到最近,有两种方法可以做到这一点——欧盟-美国隐私保护和标准合同条款。

然而,在最近的发展中,欧盟法院宣布欧盟-美国隐私保护框架用于数据传输无效。 但是,标准合同条款作为向欧盟、瑞士或英国以外的处理器传输数据的工具或机制仍然有效。

在 Appy Pie,我们制定了标准合同条款 (SCC) 来传输数据,从而保护所有个人数据。 在 Appy Pie,我们致力于通过实施和遵守规定的合规政策(作为数据控制者和处理者)使我们的客户能够负责任地提供客户服务。

CCPA

加州消费者隐私法是一项旨在加强加州居民隐私权和消费者保护的州法规。

Appy Pie 遵守 CCPA,并且对通过平台从客户那里收集的所有或任何个人数据保持透明。 要阅读 Appy Pie 的 CCPA 政策,请单击此处

您可以通过填写此表格提出“不要出售我的数据”请求。

渗透测试、漏洞扫描和修补

作为惯例,我们在 Appy Pie 会检查并应用第三方软件/服务的补丁。 如果发现任何漏洞,我们会以最高优先级应用修复程序。 此外,每个月都会使用 Amazon Inspector 的服务进行漏洞扫描。

Appy Pie 已获得第三方专家-Bishop Fox 的渗透测试,相关报告可通过发送电子邮件至 [email protected] 获取

物理和网络安全

Appy Pie 在 NSEZ 和 Noida(印度)设有开发中心,在 Warrenton、Virginia(美国)、伦敦(英国)和 Noida(印度)设有销售/支持办事处。 该办公室配备了监控摄像头,其录像由授权人员定期监控。 火灾警报器和洒水器可以在不太可能发生的火灾中检测和减轻损失。 此外,物业管理团队定期进行消防演习,以教育员工有关紧急疏散程序的知识。 办公室配备 24×7 电源,并由备用不间断电源系统支持,以确保在停电时正常运行。

Appy Pie 的所有应用程序都是在 Amazon Web Services 上创建和托管的,数据库和应用程序服务器的基础设施由 Amazon 管理和维护。

应用程序的第一层保护由 AWS 的防火墙提供,该防火墙可抵御常规 DDoS 攻击和其他与网络相关的入侵。 第二层保护由 Appy Pie 自己的应用程序防火墙提供,该防火墙监控违规 IP、用户和垃圾邮件。 值得注意的是,存储在应用程序中的所有帐户密码都是单向散列和加盐的。

Appy Pie 使用多租户数据模型来托管其所有应用程序。 Appy Pie 通过单独的虚拟私有云为每个应用程序提供服务,其中为每个客户分配了唯一的租户 ID。 该应用程序经过设计和验证,以确保只能获取已登录租户的数据。 正是这种战略设计确保没有客户可以访问其他客户的数据。 应用程序开发团队对应用程序的访问也受到控制、管理和审计。 每次访问应用程序和基础架构时,都会创建详细的日志,然后对其进行审核。

欢迎您来到我们的实际位置,并通过发送电子邮件至 [email protected] 与我们预约,检查现场采取的安全措施。

行政业务

作为一个负责任和受人尊敬的组织,我们对保护我们的数据和确保客户数据的安全非常警惕。 组织的员工只有在使用智能卡授权后才能进入办公室,并且办公室的敏感区域只能由授权人员访问。

数据丢失保护

作为提供最佳数据丢失保护的措施,我们在 Appy Pie 使用世界领先的数据丢失保护 – CoSoSys 的 Endpoint Protector,它可以防止通过物理或数字方式进行任何不适当的数据传输。 这意味着来自公司的数据不能复制到任何其他大容量存储设备,也不能通过电子邮件作为附件或任何其他形式使用其强大的安全性发送出去。

数据存储

客户数据的保护和安全对于Appy Pie来说是一件严肃的事情,因此他们以真诚和负责的态度管理其应用程序和客户数据的安全性。 但是,使用该平台创建的各个应用程序的配置和访问管理由各个应用程序所有者自行决定。

Appy Pie 的开发团队无法访问生产服务器上的数据,但是对应用程序、基础架构、Web 内容和部署流程的任何更改都作为内部更改控制流程的一部分被广泛记录。

我们的平台收集有关我们客户的有限信息,包括他们的姓名、电子邮件地址和电话,这些详细信息仅用于创建帐户。 Stripe,Appy Pie 的 PCI 兼容支付处理器,用于计费请求并保留客户的邮政地址,以及信用卡和 CVV 的到期日期。

Appy Pie 非常重视客户数据的完整性和保护,并维护两种数据历史记录:来自系统的应用程序日志,以及应用程序和客户数据。 所有这些数据都存储在亚马逊最先进的云计算平台中,AWS 和备份每六个小时在多个地点进行一次。

每天备份数据库备份并维护 35 天。 客户数据备份有两种方式:

  1. 如果主数据中心发生系统故障转移,则会在不同的数据中心维护连续备份。 正是由于强大的备份,如果任何一个数据中心发生不太可能发生的灾难,我们的客户只会丢失五分钟的数据。

  2. 每天将数据备份到持久存储并保留 15 天。

在欧洲和美国,AES 256 位标准(密钥强度 – 1024)用于加密静态数据,AWS Key Management Service 管理密钥。 通过安全套接字连接的 FIPS-140-2 标准加密用于加密传输中的所有数据,适用于 appypie.com 上托管的所有帐户。 此外,对于托管在独立域上的帐户,还有一个选项可用于启用安全套接字连接。

以开发和测试为目的使用多样化的环境,根据信息分类,在需要做/知道的基础上建立了严格的系统访问管理系统,其中内置了职责分离,并在每季度一次。

移动安全

作为一项实践,我们在 Appy Pie 使用 Kryptowire 的移动应用程序安全测试 (MAST) 解决方案来确保所有 Appy Pie 应用程序的安全并确保我们所有平台用户的数据隐私。

我们使用 Kryptowire 根据由
– 美国国家标准与技术研究院 (NIST)
– 国家信息保障伙伴关系 (NIAP)
– 开放式 Web 应用程序安全项目 (OWASP)

数据删除或冗余

删除帐户后,与其相关的所有数据将在 14 个工作日内销毁。 但是,如果帐户持有人想要备份他们的数据,Appy Pie 产品提供数据导出选项。

报告问题和威胁

如果您遇到任何可能影响 Appy Pie 用户的数据安全或隐私的问题、安全事件(如违规和潜在漏洞)或缺陷,请联系我们并写信至 [email protected] 引用您的关注点和细节,以便我们尽早着手处理。

您的请求将立即得到调查,我们可能会与您联系并寻求您的指导,以识别或复制问题并确定方法或制定策略以立即解决威胁。

该公司拥有经内部法律顾问批准的隐私政策,可在https://www.appypie.com/privacy-policy上公开获取,并且 Appy Pie 使用的支付网关 (Stripe) 符合 PCI 标准。