Team Wix dedicato alla sicurezza |
- Wix si avvale di un team di professionisti della sicurezza e della privacy esperti in materia di sicurezza delle informazioni, delle applicazioni e della rete. Il team gestisce e migliora costantemente i sistemi di difesa dell'azienda, sviluppa processi di revisione della sicurezza, crea infrastrutture di sicurezza e implementa le politiche di sicurezza dell'azienda.
- Il team dedicato alla sicurezza di Wix scansiona attivamente la nostra piattaforma e la nostra infrastruttura per rilevare eventuali minacce alla sicurezza, esegue test di controllo della qualità e verifica la sicurezza del software e fornisce servizi di consulenza progetto-specifici per i team del prodotto e degli ingegneri.
- Il team di sicurezza, con l'aiuto di esperti esterni, monitora costantemente le attività sospette nella nostra rete. Affrontano anche le minacce alla sicurezza delle informazioni ed eseguono valutazioni e controlli di sicurezza di routine.
|
Conformità e certificazioni | Come spiegato in dettaglio nel nostro white paper sulla sicurezza, Wix è un commerciante e fornitore di servizi di livello 1 PCI ed è certificato come conforme alle norme ISO 27001 e ISO 27018. Copie delle nostre certificazioni sono disponibili qui. |
Controlli di accesso fisico |
- I servizi Wix sono ospitati su data center basati sulla piattaforma cloud di Google Cloud, per i quali Equinix fornisce tutti i servizi di colocation fisici. I nostri fornitori di infrastrutture mantengono certificazioni di sicurezza standard del settore, tra cui: ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3 e PCI DSS livello 1.
- Le posizioni dei nostri data center sono descritte in dettaglio nella nostra informativa sulla privacy.
- Maggiori informazioni sulla sicurezza dei nostri fornitori di servizi cloud sono disponibili nella pagina sulla sicurezza di AWS e nella Pagina sulla sicurezza di Google Cloud.
- Gli uffici di Wix in tutto il mondo sono fisicamente protetti da restrizioni di accesso e gestione dei dati personali.
|
Piani di Business Continuity, Incident Response e Disaster Recovery |
- Wix utilizza data center e provider di servizi cloud in posizioni geografiche separate e fusi orari diversi per consentire la disponibilità dell'infrastruttura e dei servizi, nonché la continuità.
- Wix sviluppa e gestisce piani di business continuity, di risposta agli incidenti e di ripristino di emergenza, che vengono testati e aggiornati periodicamente.
- Wix fornisce soluzioni designate per la protezione e la mitigazione degli effetti degli attacchi DDoS.
- Wix mantiene team dedicati in più aree geografiche per supportare la piattaforma Wix, i servizi e l'infrastruttura di supporto.
|
Controlli di accesso al sistema |
- Wix mantiene una politica di controllo degli accessi che copre la rete interna di Wix e i sistemi che elaborano i dati personali. Ciò facilita i processi di controllo, tra cui la registrazione, il monitoraggio e la limitazione degli accessi.
- I registri e i sistemi di Wix distinguono i record e le informazioni dei clienti da quelli non relativi ai clienti.
- Inserimento, cancellazione e modifica dei dati vengono timbrati e registrati (data/ora e personale pertinente).
|
Sicurezza a livello di applicazione, monitoraggio e identificazione e valutazione dei rischi |
- Wix nasconde le credenziali e le password dell'account degli utenti Wix
- Gli utenti Wix possono scegliere di stabilire l'autenticazione a due fattori nei loro account Wix per un ulteriore livello di sicurezza.
- Gli utenti Wix possono personalizzare molte delle autorizzazioni del loro sito web (questo varia a seconda del servizio specifico e delle funzionalità utilizzate).
- Tutte le interfacce cloud e pubbliche di Wix vengono automaticamente scansionate per vulnerabilità e errori di configurazione su un file base regolare. Wix monitora, rileva e blocca regolarmente gli attacchi in arrivo sulla nostra piattaforma.
- I test di penetrazione vengono eseguiti regolarmente sulla nostra piattaforma dal team di sicurezza di Wix e da terze parti esterne. I risultati vengono valutati e corretti (se necessario).
- Wix mantiene un programma di ricompensa sui bug di sicurezza, che offre ai ricercatori indipendenti sulla sicurezza una piattaforma per testare e inviare report sulle vulnerabilità.
- Wix facilita i controlli sulla privacy nel suo codice per garantire la privacy dei dati dei clienti e per impedire a un cliente di accedere ai dati di un altro cliente.
|
Misure di controllo e sicurezza per l'archiviazione, la trasmissione e il trasporto dei dati personali |
- Tutti i nuovi siti creati su Wix hanno HTTPS automaticamente abilitato come parte dei servizi di base forniti da Wix.
- Tutte le interfacce e le funzioni critiche (ad es. l'autenticazione dell'utente, le transazioni di pagamento (dati PCI) e i processi relativi alle PII sono accessibili solo utilizzando almeno TLS v1.2.
- Wix ha un'architettura di sicurezza a più livelli per proteggere dai problemi di sicurezza di 0 giorni.
- Firewall e sistemi di prevenzione delle intrusioni sono in atto per impedire l'accesso non autorizzato.
- Wix facilita un programma di monitoraggio SOC 24/7/365 incentrato sulle informazioni raccolte da varie fonti (traffico di rete interno, azioni dei dipendenti sui sistemi e ricerca continua sulle vulnerabilità). L'analisi viene eseguita utilizzando diversi strumenti per l'acquisizione e l'analisi del traffico.
|
Consapevolezza e formazione dei dipendenti |
- Il team di sicurezza di Wix comunica regolarmente con tutti i dipendenti, trattando argomenti come minacce emergenti, campagne di sensibilizzazione sul phishing e altri argomenti relativi alla sicurezza.
- Tutti i dipendenti Wix:
- Sono sottoposti a corsi di formazione sulla sicurezza quando ti unisci all'azienda e su base continuativa (se necessario), oltre a una formazione aggiuntiva che dipende dal ruolo su aspetti specifici della sicurezza (se necessario).
- Accettano il codice di condotta aziendale, che sottolinea il nostro impegno a mantenere le informazioni dei clienti al sicuro.
- Firmano una dichiarazione di riservatezza al momento dell'assunzione.
|
Programma di gestione dei rischi di terze parti | Prima di ingaggiare nuovi fornitori di servizi di terze parti o fornitori che avranno accesso ai dati, alla piattaforma o ai sistemi Wix, Wix conduce una valutazione del rischio delle pratiche di sicurezza dei dati dei fornitori come parte del programma di gestione dei rischi di terze parti di Wix. |
Politica sulle richieste di applicazione della legge |
- Wix rispetta i diritti umani dei nostri clienti e dei loro utenti finali.
- Pertanto, Wix implementa una politica per le richieste delle forze dell'ordine, progettata per garantire che tutte le richieste di dati ricevute dalle forze dell'ordine, dagli enti governativi o di regolamentazione ("Autorità") siano valide e effettuate in conformità con le procedure legali applicabili.
- Wix non divulga i dati personali alle autorità, a meno che non sia richiesto dalla legge applicabile, e Wix contesta le richieste illegali. A meno che non sia legalmente vietato, se Wix riceve una richiesta di informazioni sugli utenti degli utenti di un cliente (come definito nella Informativa sulla privacy di Wix, Wix reindirizzerà l'Autorità competente per richiedere tali dati direttamente al cliente in questione, in quanto titolare del trattamento di tali dati.
|