צוות האבטחה הייעודי של Wix |
- Wix מעסיקה צוות של מקצועני אבטחה ופרטיות שמתמחים באבטחת מידע, אפליקציות ורשתות. הצוות מתחזק וכל הזמן משפר את מערכות ההגנה של החברה, מפתח תהליכי סקירת אבטחה, בונה תשתיות אבטחה ומיישם את מדיניות האבטחה של החברה.
- כמו כן, צוות האבטחה הייעודי של Wix סורק באופן פעיל את הפלטפורמה ואת התשתיות שלנו כדי לאתר איומי אבטחה, מבצע בדיקות חדירוּת, נוקט אמצעים להבטחת איכות, עורך בדיקות של אבטחת תוכנה ומספק שירותי ייעוץ ספציפיים לפרויקטים לצוותי המוצר וההנדסה של Wix.
- צוות האבטחה, בסיוע מומחים חיצוניים, מנטר באופן תמידי פעילות חשודה ברשת שלנו. הוא גם מטפל באיומי אבטחת מידע ומבצע בדיקות ובקרות אבטחה שגרתיות.
|
תאימות ואישורים | כפי שמפורט בסקירה המפורטת שלנו בנושא אבטחה, Wix מוסמכת כעסק וכספקית שירות ברמה 1 לפי תקן אבטחת המידע PCI, והיא גם מוסמכת כתואמת לתקן ISO 27001 ולתקן ISO 27018. עותקים של האישורים שלנו נמצאים כאן. |
בקרות גישה פיזית |
- השירותים של Wix מתארחים במרכזי נתונים מבוססי-ענן של AWS ושל פלטפורמת Google Cloud, ש-Equinix מספקת עבורם את כל שירותי הקולוקציה הפיזיים. ספקי התשתיות שלנו מחזיקים באישורי אבטחה לפי התקנים המקובלים בתעשייה, ביניהם: ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3 ו-PCI DSS רמה 1.
- המיקומים של מרכזי הנתונים שלנו מפורטים במדיניות הפרטיות שלנו.
- ניתן למצוא פרטים נוספים על האבטחה של ספקי שירותי הענן שלנו בעמוד בנושא אבטחה של AWS ובעמוד בנושא אבטחה של Google Cloud.
- המשרדים של Wix ברחבי העולם מאובטחים פיזית על ידי הגבלה וניהול של הגישה על סמך זיהוי אישי.
|
תוכניות לשמירה על פעילות עסקית רציפה, לתגובה לאירועים ולהתאוששות מאסון |
- Wix נעזרת בספקים של מרכזי נתונים ושל שירותי ענן במיקומים גיאוגרפיים נפרדים ובאזורי זמן שונים כדי לאפשר זמינות של תשתיות ושירותים, כמו גם פעילות רציפה.
- Wix מפתחת ומתחזקת תוכניות לשמירה על פעילות עסקית רציפה, לתגובה לאירועים ולהתאוששות מאסון. התוכניות האלה נבדקות ומתעדכנות מעת לעת.
- Wix מאפשרת פתרונות יעודיים להגנה מפני השפעות של התקפת DDoS ולמזעור שלהן.
- Wix מחזיקה צוותים ייעודיים במיקומים גיאוגרפיים מרובים כדי לתמוך בפלטפורמת Wix, בשירותים ובתשתיות התומכות שלה.
|
בקרות גישת מערכת |
- Wix מקיימת מדיניות בקרת גישה המתייחסת לעיבוד נתונים אישיים על ידי הרשת והמערכות הפנימיות של Wix. המדיניות הזו מאפשרת תהליכי בקרה, כולל תיעוד, ניטור והגבלה של גישה.
- הרשומות והמערכות של Wix מבחינות בין מידע ורשומות של לקוחות לבין מידע שאינו של לקוחות.
- כל פעולת הוספה, מחיקה או שינוי של נתונים נחתמת ומתועדת (תאריך/שעה וסגל רלוונטי).
|
אבטחה ברמת האפליקציה, ניטור וזיהוי והערכת סיכונים |
- Wix מגבבת (hash) את פרטי הכניסה והסיסמאות של חשבונות משתמשי Wix.
- משתמשי Wix יכולים לבחור להגדיר אימות דו-שלבי בחשבונות Wix שלהם כדי להוסיף עוד שכבת אבטחה.
- משתמשי Wix יכולים להתאים אישית הרבה מהרשאות האתר שלהם (האפשרויות משתנות בהתאם לשירות הספציפי ולתכונות שבהן הם משתמשים).
- כל הממשקים הציבוריים וממשקי הענן של Wix נסרקים אוטומטית לאיתור פרצות אבטחה והגדרות שגויות על בסיס קבוע. Wix מנטרת, מזהה וחוסמת באופן קבוע התקפות חיצוניות על הפלטפורמה שלנו.
- צוות האבטחה של Wix וצד שלישי חיצוני עורכים בדיקות חדירוּת בפלטפורמה שלנו על בסיס קבוע. התוצאות נבדקות ותיקונים מתבצעים (לפי הצורך).
- Wix מקיימת תוכנית תמריצים לאיתור פרצות אבטחה (Bug Bounty), שמעניקה לחוקרי אבטחה עצמאיים פלטפורמה לבדיקה ולשליחה של דוחות על פרצות אבטחה.
- Wix מאפשרת לקיים בקרות אבטחה בקוד שלה כדי להבטיח את פרטיות הנתונים של לקוחות וכדי למנוע גישה של לקוחות לנתונים של לקוחות אחרים.
|
אמצעי בקרה ואבטחה לאחסון, שידור והעברה של נתונים אישיים |
- בכל האתרים החדשים שנוצרים ב-Wix מופעל HTTPS באופן אוטומטי כחלק מהשירותים הבסיסיים ש-Wix מספקת.
- כל הפונקציות והממשקים הקריטיים, כלומר, אימות משתמשים, עסקאות תשלום (נתוני PCI) ותהליכים הקשורים למידע רגיש (PII) נגישים רק באמצעות TLS גרסה 1.2 ומעלה.
- ל-Wix יש ארכיטקטורת אבטחה מרובת-שכבות להגנה מפני בעיות אבטחה לא ידועות ("מתקפות אפס ימים").
- יש לנו חומות אש ומערכות למניעת חדירה כדי למנוע גישה בלתי מורשית.
- Wix משתמשת בתוכנית ניטור SOC הפועלת ללא הפסקה ומתמקדת במידע שנאסף ממקורות שונים (תעבורת רשת פנימית, פעולות של עובדים במערכות ומחקר מתמשך בנושא פרצות אבטחה). הניתוח מתבצע באמצעות כלים שונים ללכידה ולניתוח של נתוני תעבורת גולשים.
|
העלאת מוּדָעוּת והדרכה לעובדים |
- צוות האבטחה של Wix מקיים תקשורת רציפה עם העובדים הכוללת התייחסות לנושאים כמו איומים חדשים, ניהול קמפיינים להעלאת המוּדָעוּת לפישינג ומתן מידע בנושאי אבטחה אחרים הקשורים לתעשייה.
- כל העובדים ב-Wix:
- עוברים הדרכה בנושא אבטחה כשהם מצטרפים לחברה ועל בסיס מתמשך (לפי הצורך), בנוסף להדרכה הנוגעת לתפקיד שלהם על היבטים ספציפיים של אבטחה (לפי הצורך).
- מאשרים את קוד ההתנהגות של החברה, שמדגיש את המחויבות שלנו לשמירה על בטיחות ואבטחת המידע של הלקוחות.
- חותמים על הצהרת סודיות כשהם מצטרפים לחברה.
|
תוכנית לניהול סיכונים של צד שלישי | לפני ההתקשרות עם ספקי שירות או עם ספקים חיצוניים חדשים (צד שלישי) שיקבלו גישה לנתונים, לפלטפורמה או למערכות של Wix, Wix מבצעת הערכת סיכונים לגבי שיטות אבטחת הנתונים של הספקים כחלק מהתוכנית של Wix לניהול סיכונים של צד שלישי. |
המדיניות בנושא בקשות מגורמי אכיפה |
- Wix מכבדת את זכויות האדם של הלקוחות שלנו ושל משתמשי הקצה שלהם.
- לכן, Wix מקיימת מדיניות בנושא בקשות מגורמי אכיפה, שמטרתה להבטיח שכל בקשות הנתונים המתקבלות מגורמי אכיפת חוק, מגופים ממשלתיים או מגופי תקינה ופיקוח ("רשויות") הן חוקיות ונעשות בהתאם להליכים המשפטיים הרלוונטיים.
- Wix לא חושפת נתונים אישיים לרשויות, אלא אם החוק החל מחייב זאת, ו-Wix מערערת על בקשות לא חוקיות. למעט אם החוק אוסר זאת, אם Wix מקבלת דרישה לקבלת מידע של לקוח, שנחשב כ"מידע של משתמשים של המשתמשים שלנו" (כמוגדר במדיניות הפרטיות של Wix), Wix תפנה את הרשות הרלוונטית לבקש מידע כזה ישירות מהלקוח הרלוונטי, כבעל השליטה בנתונים האלה.
|