top of page

Полная безопасность благодаря защите высочайшего уровня

Из брошюры по вопросам безопасности вы узнаете о том, как Wix.com Ltd защищает данные пользователей.

→ Введение

Введение: ваша безопасность —

наша главная задача

 

Wix.com Ltd — ведущая облачная платформа для разработки веб-приложений, которая насчитывает миллионы пользователей по всему миру. Безопасность является одним из наших основных приоритетов, поэтому во всех наших подразделениях мы стараемся использовать методы и процессы, обеспечивающие максимальную защиту. В стремлении достичь этой цели — защитить персональные данные наших пользователей — мы делаем все возможное, чтобы обеспечить безопасную и надежную работу нашей платформы.

В настоящем документе приводится обзор нашей политики информационной безопасности, которая призвана обеспечить безопасное и надлежащее использование нашей сети, инфраструктуры и операционных служб.

В настоящей брошюре изложен подход компании Wix.com Ltd к обеспечению безопасности и соблюдению нормативных требований.

→ Соблюдение нормативных требований и сертификация

Соблюдение нормативных требований и сертификация — защита ваших данных

PCI
ISO 27001
ISO 2708
CCPAS
GDPR

Торговец и поставщик услуг PCI 1-го уровня

PCI DSS (стандарт защиты информации в индустрии платежных карт) — это высочайший стандарт информационной безопасности для организаций, принимающих оплату кредитной картой. Этот стандарт обеспечивает защиту конфиденциальности и секретности данных карты, с помощью которой проводится транзакция в режиме реального времени.

ISO 27001

Компания Wix.com Ltd проходит ежегодную проверку и имеет сертификат, подтверждающий ее соответствие требованиям стандарта ISO 27001. Сертификат ISO 27001 подтверждает соответствие отраслевым стандартам управления рисками.

ISO 27018

Компания Wix.com Ltd прошла проверку и имеет сертификат, подтверждающий ее соответствие требованиям стандарта ISO 27018. Сертификат ISO 27018 подтверждает соответствие отраслевым стандартам обращения с персональной идентифицирующей информацией (ПИИ) в открытой среде облачных вычислений.

ОРЗД

ОРЗД (Общий регламент по защите персональных данных) — это документ Европейского Союза, лежащий в основе законодательства о защите персональных данных. Регламент вступил в силу 25 мая 2018 года. ОРЗД защищает права граждан в том, что касается их персональных данных и действий, которые компании могут выполнять с этими данными.

Мы работаем в постоянном взаимодействии с командой экспертов и вносим необходимые изменения в наши товары, услуги и документы, чтобы обеспечивать соответствие требованиям ОРЗД. Благодаря этому клиенты Wix могут лучше контролировать свои персональные данные и получают необходимые инструменты для защиты информации посетителей сайтов Wix.

Более подробную информацию о методах обработки данных пользователей, принятых в Wix.com Ltd, и о порядке осуществления прав в отношении персональных данных см. в политике конфиденциальности Wix.com Ltd.

CCPA

Закон Калифорнии о защите персональных данных потребителей (CCPA) — это закон штата о конфиденциальности данных, который регулирует порядок обращения с персональными данными жителей Калифорнии для предприятий со всего мира.

Задача этого закона — расширить и углубить права на конфиденциальность и защиту потребителей путем наделения их особыми правами, которые включают в себя, помимо прочего, «право на доступ», «право на удаление» и «право на отказ от продажи персональных данных».

Как и в случае с ОРЗД, мы работаем в постоянном взаимодействии с командой экспертов и вносим необходимые изменения в наши товары, услуги и документы, чтобы обеспечить соответствие требованиям CCPA.

→ Многоуровневая защита

Многоуровневая защита — лучшее решение для вашей безопасности

 

Wix.com Ltd использует многоуровневые меры контроля для защиты инфраструктуры компании. Кроме того, мы систематически проверяем и дорабатываем наши приложения, системы и процессы в соответствии с постоянно ужесточающимися требованиями к безопасности.

Безопасность на уровне приложений

Моделирование угроз

Каждая новая функция, которая появляется на платформе для веб-разработок Wix.com Ltd, проходит тщательную проверку безопасности с применением метода моделирования угроз STRIDE. В рамках нашей методологии разработки программного обеспечения мы тестируем каждую функцию на соответствие строгим стандартам безопасности и неуязвимость для злоумышленников.

Тесты на проникновение

У нас есть собственная команда исследователей, которые регулярно проверяют уровень безопасности нашей платформы. Внештатные эксперты по вопросам безопасности ежедневно проводят внешние тесты на проникновение, а их результаты доводятся до сведения наших научно-исследовательских групп с последующим оперативным принятием соответствующих мер по снижению рисков.

OWASP 

Наши разработчики используют методы безопасного программирования OWASP (открытый проект обеспечения безопасности веб-приложений).

Шифрование

Wix.com Ltd использует проверенные алгоритмы и протоколы шифрования для защиты данных в процессе передачи или в месте хранения.

Программа Bug Bounty: попробуйте взломать нас, чтобы сделать нас лучше

Компания Wix.com Ltd приглашает внештатных экспертов по вопросам безопасности стать участниками нашей активной учетной записи в HackerOne и попробовать взломать нашу систему. Это помогает нам постоянно совершенствовать нашу систему и повышать ее безопасность. Наша баунти-программа охватывает уязвимости системы безопасности с динамической областью действия в вариантных доменах, в том числе:

  • атаки XSS;

  • атаки CSRF;

  • уязвимость перед внедрением кода SQL;

  • перехват DNS;

  • уязвимость на сеансовом уровне;

  • незащищенный API;

  • спуфинг-мошенничество при аутентификации.
     

Нашу учетную запись в HackerOne можно найти здесь.



 

Первоклассная физическая защита

Наша производственная среда соответствует самым строгим отраслевым стандартам в отношении мер физического, внешнего и хостингового контроля.

Услуги хостинга компании Wix предоставляют облачные DC-провайдеры: AWS и Google Cloud Platform. Все услуги физической коллокации оказывает компания Equinix. Эти поставщики инфраструктуры имеют общепринятые в отрасли сертификаты безопасности, включая:

  • ISO 27001;

  • ISO 27017;

  • ISO 27018;

  • SOC 1;

  • SOC 2;

  • SOC 3;

  • PCI DSS, уровень 1.
     

Более подробную информацию о средствах обеспечения безопасности наших поставщиков можно найти на их сайтах: AWS, GCP, Equinix.

Безопасность сетей — дополнительные уровни защиты

  • TLS 1.2

Все новые сайты, разрабатываемые на Wix.com Ltd, имеют автоматически включенный HTTPS в составе базовых услуг, предоставляемых Wix.com Ltd. Доступ ко всем критически важным интерфейсам и функциям, таким как аутентификация пользователей, платежные операции (данные PCI) и процессы, связанные с ПИИ, можно получить только при использовании последней версии TLS. Wix.com Ltd официально поддерживает версию TLS не ниже 1.2.

  • Мониторинг

Программа мониторинга SOC 24/7/365 от Wix.com Ltd посвящена информации, полученной из внутреннего сетевого трафика, действиям сотрудников в системах и внешним сведениям об уязвимостях. Анализ выполняется с использованием как инструментальных средств с открытым исходным кодом, так и коммерческих инструментов для сбора и обработки данных о трафике. Автоматизированный анализ сети помогает выявить возможную неизвестную угрозу и передать ее на рассмотрение сотрудникам службы безопасности Wix.com Ltd. Данные анализа сети пополняются результатами автоматизированного анализа системных журналов.

  • Сканирование на уязвимость

Учитывая динамический характер внешней поверхности Wix.com Ltd, все облачные и общедоступные интерфейсы Wix.com Ltd автоматически сканируются дважды в день на уязвимость и ошибки конфигурации.

→ Сторонние поставщики

Сторонние поставщики

 

Ваша безопасность и конфиденциальность — наш главный приоритет. Именно поэтому в Wix.com Ltd проводится специальная проверка, которая включает в себя оценку методов обеспечения безопасности сторонних поставщиков для подтверждения их соответствия нашим стандартам безопасности. После оценки рисков поставщики

в обязательном порядке заключают соответствующие договоры о безопасности, конфиденциальности и защите персональных данных. При необходимости наша служба безопасности проводит ежегодную проверку одобренных поставщиков на соответствие нашим стандартам.

→ Управление рисками мошенничества

Управление рисками мошенничества

 

Управление рисками мошенничества входит в основную деятельность компании, и наши специалисты по безопасности уделяют этому особое внимание.

Действия на уровне как продавцов, так и транзакций подвержены различным рискам мошенничества, таким как мошенничество с онлайн-платежами и создание фиктивных учетных записей.

Мошеннической называется операция, не одобренная клиентом. Мошенническая операция может привести к возврату платежа, в результате чего торговцы могут потерять деньги.

В Wix.com Ltd процесс управления рисками мошенничества начинается на этапе своевременного предупреждения и заканчивается этапом снижения операционных затрат на уровне как торговцев, так и транзакций.

→ Культура безопасности и конфиденциальности Wix.com Ltd

Культура безопасности и конфиденциальности Wix.com Ltd — встроенный алгоритм конфиденциальности

Осведомленность и обучение сотрудников

В рамках вводного инструктажа все сотрудники Wix.com Ltd проходят обучение во вопросам безопасности. Во время вводного инструктажа новые сотрудники принимают условия нашего кодекса поведения, в котором указаны наши обязанности по защите и обеспечению безопасности информации наших клиентов. В зависимости от должностных обязанностей может потребоваться дополнительное обучение по конкретным вопросам безопасности. Например, специалисты по информационной безопасности обучают новых инженеров методам безопасного программирования, правилам разработки продуктов, работе со средствами автоматизированного тестирования на уязвимость и многому другому.

Работники службы безопасности регулярно общаются со всеми сотрудниками о возникающих угрозах, проводят информационно-просветительские кампании по вопросам фишинга и обсуждают другие вопросы безопасности, актуальные для отрасли.

 

Специализированная служба безопасности

В Wix.com Ltd работают специалисты по безопасности и конфиденциальности, которые отлично разбираются в вопросах информационной и сетевой безопасности, а также безопасности приложений. В их обязанности входит обслуживание систем защиты компании, разработка процессов проверки безопасности, создание инфраструктуры безопасности, а также реализация политики безопасности компании.

Наша специализированная служба безопасности занимается активным сканированием на наличие угроз безопасности, проводит тесты на проникновение, принимает меры по обеспечению качества и выполняет проверки безопасности программного обеспечения.

В Wix.com Ltd специалисты по информационной безопасности проверяют планы обеспечения безопасности сетей, систем и сервисов. Они также консультируют разработчиков продуктов и инженеров Wix.com Ltd по конкретным проектам. Кроме того, они отслеживают подозрительную активность в сетях Wix.com Ltd, устраняют угрозы информационной безопасности, проводят плановые оценки и аудиты безопасности, в том числе с привлечением внешних экспертов.

Если у вас есть вопросы, связанные с безопасностью в Wix.com Ltd, напишите нам по адресу: security-report@Wix.com

Wix.com Ltd поддерживает более 200 миллионов пользователей и компаний. Наш главный приоритет — это ваша безопасность и конфиденциальность.

bottom of page