top of page

Bezpieczna strona dzięki zabezpieczeniom najwyższej klasy

Przeczytaj naszą białą księgę na temat bezpieczeństwa i dowiedz się, jak Wix.com Ltd chroni Twoje dane.

→ Wprowadzenie

Wprowadzenie – bezpieczeństwo naszą dumą

Wix.com Ltd jest wiodącą, opartą na chmurze platformą do tworzenia stron internetowych, z której korzystają miliony użytkowników na całym świecie. Kwestia bezpieczeństwa należy do naszych głównych priorytetów. Staramy się wdrażać procesy i praktyki bezpieczeństwa na najwyższym poziomie we wszystkich naszych jednostkach biznesowych. Aby zapewnić osiągnięcie celu, jakim jest ochrona danych osobowych naszych użytkowników, włożyliśmy wiele wysiłku w dbałość o bezpieczeństwo naszej platformy.

Niniejszy dokument zawiera przegląd zasad bezpieczeństwa informacji, dotyczących bezpiecznego i akceptowalnego korzystania z naszej sieci, infrastruktury i usług operacyjnych.

Niniejsza biała księga opisuje podejście Wix.com Ltd do kwestii bezpieczeństwa i zgodności.

→ Zgodność i certyfikaty

Zgodność i certyfikaty –
dbamy o bezpieczeństwo danych

PCI
ISO 27001
ISO 2708
CCPAS
GDPR

Handlowiec i usługodawca PCI 1. poziomu

PCI DSS to najwyższy standard bezpieczeństwa informacji dla organizacji, które przyjmują płatności kartami kredytowymi. Standard ten zapewnia ochronę prywatności i poufności danych kart wykorzystywanych do realizacji transakcji przez internet.

ISO 27001

Firma Wix.com Ltd posiada certyfikat zgodności z ISO 27001 i corocznie przechodzi audyt związany z tym certyfikatem. Certyfikat ISO 27001 określa najlepsze praktyki branżowe w zakresie zarządzania ryzykiem związanym z bezpieczeństwem.

ISO 27018

Firma Wix.com Ltd przeszła stosowny audyt i otrzymała certyfikat zgodności z ISO 27018. Certyfikat ISO 27018 określa najlepsze praktyki branżowe w zakresie obsługi informacji umożliwiających identyfikację osób (PII) w publicznym środowisku chmur obliczeniowych.

RODO

RODO to przepisy prawne Unii Europejskiej dotyczące ochrony prywatności, które weszły w życie 25 maja 2018 roku. RODO chroni prawa osób fizycznych do poszanowania ich danych osobowych i określa, w jaki sposób firmy mogą postępować z takimi danymi.

We współpracy z zespołem ekspertów odpowiednio dostosowaliśmy nasze produkty, usługi i dokumentację, aby zapewnić ich zgodność z wymogami RODO. Dzięki temu klienci Wix mają kontrolę nad swoimi danymi osobowymi i otrzymują narzędzia niezbędne do zapewnienia ochrony danych użytkowników stron tworzonych na platformie Wix.

Więcej informacji o tym, jak Wix.com Ltd przetwarza dane użytkowników i jak można egzekwować swoje prawa w odniesieniu do danych osobowych, zawarto w Polityce Prywatności Wix.com Ltd.

CCPA

California Consumer Privacy Act (CCPA) to prawo do prywatności danych obowiązujące w stanie Kalifornia Stanów Zjednoczonych, które reguluje, w jaki sposób firmy na całym świecie mogą obsługiwać dane osobowe mieszkańców Kalifornii.

Ustawa stanowa miała na celu wzmocnienie prawa do prywatności i ochronę konsumentów dzięki zapewnieniu im specjalnych praw, które obejmują (między innymi) „prawo dostępu”, „prawo do usunięcia" i „prawo do wyrażenia sprzeciwu wobec sprzedaży danych osobowych”.

Podobnie jak w przypadku RODO, współpracujemy z zespołem ekspertów, dzięki czemu odpowiednio dostosowaliśmy nasze produkty, usługi i dokumentację, aby zapewnić zgodność z CCPA.

→ Wielowarstwowe zabezpieczenia

Wielowarstwowe zabezpieczenia – zapewniamy Ci najlepsze rozwiązania

 

W firmie Wix.com Ltd, używamy wielowarstwowych mechanizmów kontroli, aby coraz lepiej chronić naszą infrastrukturę. Nieustannie monitorujemy i ulepszamy nasze aplikacje, systemy i procesy, aby sprostać rosnącym wymaganiom i wyzwaniom w zakresie bezpieczeństwa.

Zabezpieczenia na poziomie aplikacji
 

Modelowanie zagrożeń

Każda nowa funkcja opublikowana na platformie do tworzenia stron internetowych Wix.com Ltd przechodzi przegląd bezpieczeństwa i jest poddawana szczegółowej kontroli, w której wykorzystujemy metodę modelowania zagrożeń STRIDE. W ramach naszej metodologii tworzenia oprogramowania testujemy każdą funkcję, aby upewnić się, że spełnia ona surowe normy bezpieczeństwa i nie jest podatna na nadużycia.

Testy penetracyjne

Zatrudniamy własny, dedykowany zespół badawczy ds. bezpieczeństwa, który regularnie testuje zabezpieczenia naszej platformy. Codziennie przeprowadzane są testy penetracyjne przez zewnętrznych ekspertów ds. bezpieczeństwa. Wszystkie wyniki testów penetracyjnych są zgłaszane do naszych zespołów badawczo-rozwojowych, a zagrożenia – niezwłocznie usuwane.

OWASP 

Nasz zespół programistów stosuje praktyki bezpiecznego kodowania OWASP.

Szyfrowanie

Wix.com Ltd używa sprawdzonych algorytmów i protokołów szyfrowania w celu zabezpieczenia danych zarówno przesyłanych, jak i przechowywanych.

Program Bug Bounty (premii za znalezione błędy) – spróbuj nas zhakować i pomóż ulepszać systemy

Wix.com Ltd zaprasza niezależnych ekspertów bezpieczeństwa do przyłączenia się do naszego aktywnego konta HackerOne w celu podjęcia próby włamania się do naszego systemu, abyśmy mogli ulepszać i wzmacniać nasz system. Nasz program premii obejmuje luki w zabezpieczeniach o dynamicznym zasięgu i w różnych domenach, takie jak:

  • Atak XSS

  • Atak CSRF

  • Luka w zabezpieczeniach SQL

  • Przejęcie DNS

  • Podatność sesji na ataki

  • Niezabezpieczone API

  • Spoofing uwierzytelniania

Odwiedź nasze konto HackerOne, klikając tutaj.



 

Zaawansowane zabezpieczenia przed fizycznym dostępem

Nasze środowisko produkcyjne jest zgodne z najwyższymi standardami przemysłowymi w zakresie zabezpieczeń fizycznych, środowiskowych i hostingowych.

Wix jest hostowany przez dostawców centrów danych opartych na chmurze: AWS i platforma Google Cloud Platform. Wszystkie fizyczne usługi kolokacji są świadczone przez firmę Equinix. Nasi dostawcy infrastruktury posiadają certyfikaty bezpieczeństwa zgodne z branżowymi standardami, w tym:

  • ISO 27001

  • ISO 27017

  • ISO 27018

  • SOC 1

  • SOC 2

  • SOC 3

  • PCI DSS Level 1
     

Aby dowiedzieć się więcej na temat systemów zabezpieczeń naszych dostawców, odwiedź ich strony internetowe: AWS, GCP, Equinix.

Bezpieczeństwo sieci – dodatkowe warstwy ochrony

  • TLS 1.2

Wszystkie nowe strony stworzone na platformie Wix.com Ltd mają automatycznie włączony HTTPS w ramach podstawowych usług, które Wix.com Ltd zapewnia swoim klientom. Wszystkie krytyczne interfejsy i funkcje, tj. uwierzytelnianie użytkowników, transakcje płatnicze (dane PCI) oraz procesy związane z PII, są dostępne wyłącznie za pośrednictwem najnowszej wersji TLS. Minimalna wersja TLS obsługiwana oficjalnie przez Wix.com Ltd to 1.2.

  • Monitorowanie

Program monitorowania SOC Wix.com Ltd. 24/7/365 koncentruje się na informacjach zebranych z wewnętrznego ruchu sieciowego, działań pracowników w systemach i zewnętrznej wiedzy o podatnościach. Analiza jest wykonywana przy użyciu połączenia narzędzi open-source i komercyjnych narzędzi do przechwytywania i przetwarzania ruchu. Zautomatyzowana analiza sieci pomaga określić, kiedy może istnieć nieznane zagrożenie i powiadamia zespół ds. bezpieczeństwa Wix.com Ltd. Procesy analizy sieci są dodatkowo uzupełnione przez procesy zautomatyzowanej analizy dzienników systemowych.

  • Skany podatności

Ze względu na dynamiczną naturę powierzchni zewnętrznej Wix.com Ltd, wszystkie interfejsy chmur i publiczne interfejsy Wix.com są automatycznie skanowane dwa razy dziennie w poszukiwaniu luk i błędnych konfiguracji.

→ Dostawcy zewnętrzni

Dostawcy zewnętrzni

Twoje bezpieczeństwo, prywatność i poufność są dla nas największym priorytetem. Dlatego też Wix.com Ltd przeprowadza proces weryfikacji, który obejmuje ocenę praktyk bezpieczeństwa zewnętrznych dostawców w celu sprawdzenia, czy spełniają one nasze standardy bezpieczeństwa. Po przeprowadzeniu przez nas oceny dostawca jest zobowiązany do zawarcia odpowiednich umów dotyczących bezpieczeństwa, poufności i prywatności. Gdy dany dostawca zostanie zatwierdzony, nasz zespół ds. bezpieczeństwa będzie w razie potrzeby przeprowadzał coroczny przegląd tego dostawcy, aby zapewnić, że wciąż spełnia on nasze standardy.

→ Zarządzanie ryzykiem nadużyć finansowych

Zarządzanie ryzykiem nadużyć finansowych

 

Zarządzanie ryzykiem nadużyć finansowych jest jednym z podstawowych obszarów działalności firmy, któremu poświęcamy należytą uwagę profesjonalistów w ramach naszego modelu biznesowego.

Działania zarówno na poziomie sprzedawcy, jak i na poziomie transakcji, są narażone na różnego rodzaju oszustwa, takie jak oszustwa związane z płatnościami online oraz tworzeniem fałszywych kont.

Transakcja, która nie została autoryzowana przez klienta, jest określana jako oszukańcza. Transakcja oszukańcza może skutkować obciążeniem zwrotnym, a w konsekwencji utratą pieniędzy przez handlowców.

Proces zarządzania ryzykiem nadużyć finansowych stosowany przez Wix.com Ltd rozpoczyna się na etapie wczesnego zapobiegania i trwa aż do etapu redukcji kosztów operacyjnych – zarówno na poziomie handlowca, jak i transakcji.

→ Kultura bezpieczeństwa i prywatności

Kultura bezpieczeństwa i prywatności Wix.com Ltd – zaprojektowana z myślą o prywatności

Świadomość i szkolenie pracowników

Wszyscy pracownicy Wix.com Ltd przechodzą szkolenie z zakresu bezpieczeństwa w ramach procesu wdrożenia do pracy. Podczas szkolenia nowi pracownicy akceptują nasz Kodeks postępowania, w którym podkreślamy nasze zobowiązanie do zapewnienia bezpieczeństwa informacji o klientach. W zależności od stanowiska pracy może być wymagane dodatkowe szkolenie w zakresie konkretnych aspektów bezpieczeństwa. Na przykład zespół ds. bezpieczeństwa informacji szkoli nowo zatrudnianych inżynierów w zakresie praktyk bezpiecznego kodowania, projektowania produktów, zautomatyzowanych narzędzi do testowania luk w zabezpieczeniach itd.

Zespół ds. bezpieczeństwa regularnie kontaktuje się ze wszystkimi pracownikami, poruszając takie tematy, jak pojawiające się zagrożenia, kampanie uświadamiające dotyczące phishingu oraz inne tematy związane z bezpieczeństwem w branży.

Nasz dedykowany zespół ds. bezpieczeństwa

Wix.com Ltd zatrudnia specjalistów ds. bezpieczeństwa i prywatności, którzy są ekspertami w dziedzinie bezpieczeństwa informacji, aplikacji i sieci. Zadaniem tego zespołu jest utrzymywanie systemów obronnych firmy, opracowywanie procesów przeglądu bezpieczeństwa, budowa infrastruktury bezpieczeństwa oraz wdrażanie polityki bezpieczeństwa firmy.

Nasz dedykowany zespół ds. bezpieczeństwa aktywnie wyszukuje zagrożenia bezpieczeństwa, przeprowadza testy penetracyjne, prowadzi działania z zakresu zapewnienia jakości (QA) oraz przeglądy bezpieczeństwa oprogramowania.

Członkowie zespołu ds. bezpieczeństwa informacyjnego działającego w Wix.com Ltd dokonują przeglądów planów bezpieczeństwa sieci, systemów i usług. Świadczą usługi konsultingowe dla zespołów produktowych i inżynieryjnych Wix.com Ltd, dostosowane do charakterystyki danego projektu. Zespół monitoruje podejrzaną aktywność w sieciach Wix.com Ltd, zajmuje się zagrożeniami bezpieczeństwa informacji, wykonuje rutynowe oceny bezpieczeństwa i audyty, a także angażuje zewnętrznych ekspertów do przeprowadzania ocen bezpieczeństwa.

Wszelkie dodatkowe pytania dotyczące bezpieczeństwa w Wix.com Ltd, prosimy kierować na adres: security-report@Wix.com.

Wix.com Ltd obsługuje ponad 200 milionów użytkowników i firm, a naszym kluczowym priorytetem jest Twoje bezpieczeństwo, prywatność i poufność.

bottom of page