Kuidas me turvalisusesse suhtume
Käsitleme turvalisust toote põhiomadusena, mitte pealisehitisena. See tähendab: vaikimisi turvalised sätted, minimaalsed konfiguratsioonid, ajakohased sõltuvused ja juurdepääs, mis antakse vajaduse, mitte mugavuse alusel. Samad insenerid, kes tarnivad funktsioone, tegelevad ka nende funktsioonide turvamõjudega.
See leht võtab kokku, mida me teeme – sertifikaadid, mida omame, kus andmed asuvad, kuidas makseid kaitstakse ja kuidas teatada haavatavusest, kui selle leiate.
Sertifikaadid ja vastavus
Oleme seotud järgmiste raamistikega ja auditeerime end nende alusel:
- GDPR – täielik vastavus ELi isikuandmete kaitse üldmäärusele, sealhulgas avaldatud privaatsuspoliitika, dokumenteeritud töötlemistoimingute register ja määratud andmekaitse kontaktisik.
- PCI DSS – maksekaardi andmeid töötleb eranditult Stripe, mis on PCI Level 1 sertifitseeritud. Me ei näe, salvesta ega edasta kunagi tooreid kaardinumbreid.
- ISO 27001 – meie majutuse ja platvormi müüjad on sertifitseeritud; meie sisemine infoturbe haldussüsteem peegeldab samu kontrolle.
- SOC 2 Type II – teostatakse igal aastal kliendipoolse platvormi jaoks.
Sertifikaatide koopiad on saadaval nõudmisel kontaktilehe kaudu.
Krüpteerimine edastamisel ja salvestamisel
Kogu liiklus saidile ja sealt väljub kasutades TLS 1.3; vanemad protokollid on koormusjaoturi tasemel keelatud. HSTS on jõustatud eellaadimisaknaga, nii et brauserid keelduvad ühenduse loomisest tavalise HTTP kaudu pärast esimest külastust.
Andmed puhkeolekus meie andmebaasis ja objektide salvestusruumis on krüpteeritud AES-256 abil. Krüpteerimisvõtmeid haldab pilveteenuse pakkuja KMS; ükski insener ei oma pikaajalist lihtteksti võtit.
Juurdepääsukontroll
Tootmiskeskkonnale on juurdepääs piiratud väikese arvu nimeliste inseneridega. Autentimine toimub SSO kaudu kohustusliku MFA-ga – tavaliselt riistvaralise turvavõtmega. Ühiskontosid ega staatilisi teenusekonto paroole pole; iga pikaajaline mandaat pööratakse automaatselt.
Iga toiming tootmisandmete vastu logitakse koos tegija, aja ja mõjutatud kirjega. Logid on muutumatud ja säilitatakse 12 kuud.
Makseturvalisus
Kõik maksed läbivad Stripe (ja Poola ostjate puhul Przelewy24). Mõlemad on PCI-DSS sertifitseeritud maksetöötlejad. Kaardivorm on renderdatud nende liivakastis, nii et kaardiandmed ei puutu kunagi meie serveritesse; me saame ainult tokeniseeritud viite.
Lubame 3-D Secure 2 vaikimisi ja toetume Stripe'i riskimootorile ning oma kiirusreeglitele pettusekatsete tuvastamiseks. Tagasimaksed suunatakse tagasi algse meetodi kaudu ilma kaardiandmete käsitsi töötlemiseta.
Teie andmed
Kogume miinimumi, mis on vajalik tellimuse täitmiseks: nimi, arve aadress, e-post, makseviide. Me ei müü isikuandmeid kunagi kellelegi. Me ei manusta kolmanda osapoole reklaamijälgureid.
GDPR alusel on teil õigus oma andmetele juurde pääseda, neid parandada, eksportida või kustutada. Privaatsuspoliitika selgitab, kuidas neid õigusi teostada ja kui kaua iga andmekategooriat säilitatakse.
Vastutustundlik avalikustamine
Kui arvate, et olete leidnud turvaprobleemi, kirjutage meile kontaktilehe kaudu ja vastame ühe tööpäeva jooksul. Öelge, mis probleem on, kus ja kuidas seda korrata. Meil ei ole praegu tasulist veaotsinguprogrammi, kuid me tunnustame reportereid, kes järgivad vastutustundlikku avalikustamist meie avalikul turvatunnustuste lehel.
Palume, et te ei testiks teiste kasutajate kontode vastu, ei käivitaks automatiseeritud skannereid tootmiskeskkonnas ega avalikustaks probleemi enne, kui meil on olnud võimalus see parandada.