Introdução - Sua segurança é a nossa prioridade
O Wix.com Ltd é uma plataforma de desenvolvimento web líder de setor, com milhões de usuários em todo o mundo. Nós colocamos a segurança como uma das nossas maiores prioridades e buscamos implementar processos e práticas do mais alto nível de segurança em todas as unidades de negócio. Para ajudar a atingir essa meta de proteger os dados pessoais dos usuários, nós investimos muito esforço na segurança da nossa plataforma.
Este documento dá uma visão detalhada das nossas políticas de segurança da informação para o uso seguro e aceitável da nossa rede, infraestrutura e serviços operacionais.
Este artigo apresenta a abordagem de segurança e conformidade do Wix.com Ltd.
Conformidade e certificações -
Mantendo os seus dados seguros
Comerciante & Prestador de Serviços PCI Nível 1
O PCI DSS é o mais alto padrão de segurança da informação para organizações que aceitam pagamentos por cartão de crédito. Este padrão garante proteção da privacidade e confidencialidade dos dados do cartão usado para efetivar a transação online.
ISO 27001
O Wix.com Ltd é anualmente auditado e certificado em conformidade com a ISO 27001. A certificação ISO 27001 define as melhores práticas da indústria para gerenciar riscos de segurança.
ISO 27018
O Wix.com Ltd foi auditado e certificado em conformidade com a ISO 27018. A certificação ISO 27018 define as melhores práticas da indústria para o tratamento de Informações Pessoalmente Identificáveis (IPI) em ambiente de nuvem público.
GDPR
O GDPR (Regulamento Geral de Proteção de Dados) é o marco das leis de privacidade da União Europeia, tendo entrado em vigor em 25 de maio de 2018. O GDPR protege os direitos das pessoas físicas no que tange aos seus dados pessoais e ao que as empresas podem fazer com estes.
Trabalhamos continuamente com uma equipe de especialistas e implementamos os ajustes exigidos em nossos produtos, serviços e documentação para garantir conformidade com o GDPR. Isso confere aos clientes do Wix mais controle sobre seus dados pessoais e as ferramentas necessárias para proteger as informações dos visitantes dos sites Wix.
Para mais informações sobre como o Wix.com Ltd trata dados de usuários e como exercer direitos relativos a informações pessoais, acesse a Política de Privacidade do Wix.com Ltd.
CCPA
A Lei de Privacidade dos Consumidores da Califórnia (CCPA) é uma legislação estadual de dados que regulamenta como as empresas de todo o mundo podem tratar as informações pessoais (IP) dos residentes da Califórnia.
A intenção da lei é fortalecer os direitos à privacidade e a proteção aos consumidores, dando-lhes direitos especiais, incluindo, entre outros, “direito de acesso”, “direito de eliminação” e “direito de se descadastrar de venda de informações pessoais”.
Como com o GDPR, nós trabalhamos continuamente com uma equipe de especialistas e implementamos os ajustes exigidos em nossos produtos, serviços e documentação para garantir conformidade com a CCPA.
Camadas adicionais de segurança:
O melhor para você
No Wix.com Ltd, nós utilizamos controles em múltiplas camadas para ajudar a proteger nossa infraestrutura, constantemente monitorando e aprimorando nossos aplicativos, sistemas e processos para satisfazer as crescentes demandas e desafios de segurança.
Segurança no nível do aplicativo
Modelagem de ameaças
Todo novo recurso lançado pela plataforma de criação web do Wix.com Ltd passa por uma revisão de segurança com escrutínio máximo, usando o STRIDE como nosso método de modelagem de ameaças. Como parte da nossa metodologia de desenvolvimento de software, nós testamos cada recurso para garantir que ele passará por rigorosos padrões de segurança e não seja vulnerável a abusos.
Testes de penetração
Nós usamos nossa equipe dedicada de pesquisa em segurança para testar regularmente a postura de segurança da nossa plataforma. TPs externos, realizados por especialistas externos em segurança, são executados diariamente. Todas as ocorrências de TP são relatadas às nossas equipes de P&D e mitigadas imediatamente.
OWASP
Nossa equipe de desenvolvimento segue as práticas de codificação segura OWASP.
Criptografia
O Wix.com Ltd usa algoritmos e protocolos consagrados de criptografia a fim de proteger dados em trânsito ou em repouso.
Programa de recompensas por bugs: Tente nos hackear para melhorarmos
Nós convidamos especialistas freelancers em segurança para entrar na nossa conta ativa HackerOne e tentar invadir nosso sistema; assim podemos constantemente aprimorá-lo e fortalecê-lo. Nosso programa de recompensas cobre vulnerabilidades de segurança com um escopo dinâmico de domínios, como:
-
Ataque XSS
-
Ataque CSRF
-
Vulnerabilidade por injeção de SQL
-
Sequestro de DNS
-
Vulnerabilidade de sessão
-
API desprotegida
-
Spoofing de autenticação
Você pode acessar nossa conta HackerOne aqui.
Segurança física de alto padrão
Nosso ambiente de produção cumpre os mais altos padrões da indústria relativos a controles físicos, ambientais e de hospedagem.
O Wix é hospedado por provedores DC em nuvem: AWS e Google Cloud Platform. A Equinix presta todos os serviços de colocação física. Esses fornecedores de infraestrutura mantêm certificações de segurança padrão da indústria, incluindo:
-
ISO 27001
-
ISO 27017
-
ISO 27018
-
SOC 1
-
SOC 2
-
SOC 3
-
PCI DSS Nível 1
Para saber mais sobre nossos fornecedores de controles de segurança, visite os seus sites: AWS, GCP, Equinix.
Segurança de rede - Camadas extras de proteção
-
TLS 1.2
Todos os novos sites criados com o Wix.com Ltd são automaticamente habilitados para HTTPS como parte dos serviços básicos fornecidos pelo Wix.com Ltd. Todas as interfaces e funções críticas, como autenticação de usuário, transações de pagamentos (dados PCI) e processos relacionados a IPI são acessíveis somente através da última versão do TLS. O Wix.com Ltd suporta oficialmente o TLS com a versão mínima 1.2.
-
Monitoramento
O programa de monitoramento do Wix.com Ltd, o SOC — 24 h por dia, 365 dias por ano —, é focado em informações coletadas pelo tráfego da rede interna, ações de funcionários nos sistemas e conhecimento externo de vulnerabilidades. São combinadas ferramentas comerciais e de código aberto para captura e análise de tráfego. A análise automática da rede ajuda a determinar se existe uma ameaça desconhecida, escalando-a à equipe de segurança do Wix.com Ltd, sendo suplementada pela análise automática dos logs do sistema.
-
Varreduras de vulnerabilidade
Dada a natureza dinâmica da superfície externa do Wix.com Ltd, todas as interfaces públicas e de nuvem do Wix.com Ltd são automaticamente escaneadas duas vezes ao dia em busca de vulnerabilidades e desconfigurações.
Fornecedores externos
Sua segurança, privacidade e confidencialidade são nossas maiores prioridades. É por isso que o Wix.com Ltd promove um processo de verificação que inclui a avaliação das práticas de segurança dos fornecedores externos para conferir se eles satisfazem nossos padrões de segurança. Após avaliarmos os riscos, o fornecedor precisa assinar termos contratuais de segurança, confidencialidade e privacidade. Estando o fornecedor aprovado, nossa equipe de segurança realizará uma revisão anual, se necessário, para assegurar a conformidade com nossos padrões.
Gestão do risco de fraude
A gestão do risco de fraude é parte das atividades centrais da empresa, recebendo atenção profissional dedicada como parte do nosso modelo de negócio.
A atividade tanto em nível do comerciante como em nível de transação está exposta a fraudes de vários tipo, como fraude de pagamento e criação de contas falsas.
Transações não autorizadas pelo cliente são consideradas fraudulentas. Transações fraudulentas podem resultar em estornos, o que pode causar prejuízos financeiros aos comerciantes.
O processo de gestão do risco de fraude do Wix.com Ltd começa na fase de prevenção precoce até a fase de redução de custos operacionais, tanto no nível do comerciante quanto da transação.
Cultura de segurança e privacidade do Wix.com Ltd - Privacidade como conceito
Conscientização e treinamento de funcionários
Todos os funcionários do Wix.com Ltd passam por treinamento de segurança como parte do processo de orientação. Na orientação, os novos contratados assinam nosso Código de Conduta, que enfatiza nosso comprometimento com a segurança das informações dos clientes. Dependendo da função profissional, podem ser requeridos treinamentos adicionais sobre aspectos específicos de segurança. Por exemplo: a equipe de segurança da informação instrui os novos engenheiros sobre tópicos como práticas seguras de codificação, design de produto, ferramentas de testagem automática de vulnerabilidades etc.
A equipe de segurança comunica-se regularmente com todos os funcionários, abordando tópicos como ameaças novas, campanhas de conscientização sobre phishing e outros itens relacionados a segurança.
Nossa equipe dedicada de segurança
O Wix.com Ltd emprega profissionais de segurança e privacidade especializados em segurança de informações, aplicativos e redes. A equipe é incumbida de manter os sistemas de defesa da empresa, desenvolver processos de revisão de segurança, criar infraestruturas de segurança e implementar as políticas de segurança empresarial.
Nossa equipe dedicada de segurança busca ativamente ameaças de segurança, realiza testes de penetração e aplica medidas de garantia de qualidade (QA) e revisões de segurança de software.
Dentro do Wix.com Ltd, membros da equipe de segurança da informação revisam os planos de segurança das redes, sistemas e serviços. Eles prestam serviços de consultoria específicos por projeto para as equipes de produto e engenharia do Wix.com Ltd. Também monitoram atividades suspeitas nas redes do Wix.com Ltd, resolvem ameaças à segurança das informações e executam avaliações e auditorias de segurança de rotina, sempre convocando especialistas externos para realizar avaliações de segurança.
Se você tiver qualquer dúvida sobre segurança no Wix.com Ltd, entre em contato pelo email: security-report@Wix.com
O Wix.com Ltd atende a mais de 200 milhões de usuários e negócios, e nossa maior prioridade é a sua segurança, privacidade e confidencialidade.