Toegewijd Wix Security Team |
- Wix heeft een team van beveiligings- en privacyprofessionals in dienst die experts zijn op het gebied van informatie-, applicatie- en netwerkbeveiliging. Het team onderhoudt en verbetert voortdurend de verdedigingssystemen van het bedrijf, ontwikkelt beveiligingsrapportageprocessen, bouwt beveiligingsinfrastructuur, en implementeert het beveiligingsbeleid van het bedrijf.
- Wix' toegewijde beveiligingsteam scant ons platform en onze infrastructuur ook voortdurend op bedreigingen, voert penetratie-testen uit, voert quality assurance maatregelen en software-beveiligingsbeoordelingen uit, en levert projectspecifieke consultatiediensten aan Wix' product- en ontwikkelingsteams.
- Met behulp van externe experts monitort het beveiligingsteam voortdurend voor verdachte activiteit op ons netwerk. Ze richten zich ook op informatiebeveiligingsdreigingen en voeren routine veiligheidsbeoordelingen en -audits uit.
|
Compliance en Certificaten | Zoals verder beschreven in ons Security Whitepaper is Wix een PCI Level 1 Merchant & Service Provider en zijn we gecertificeerd als ISO 27001 en ISO 27018 compliant. Kopieën van onze certificaten kunnen hier gevonden worden. |
Fysieke toegangscontroles |
- Wix-diensten worden gehost op AWS en Google Cloud Platform cloudgebaseerde datacenters, waarvoor Equinox alle fysieke colocatie-diensten levert. Onze infrastructuurproviders onderhouden beveiligingscertificaten volgens onze industrie-standaarden, waaronder: ISO 27001, ISO 27017, ISO 27018, SOC 1, SOC 2, SOC 3 en PCI DSS Level 1.
- De locaties van onze datacenters worden beschreven in ons privacybeleid.
- Meer informatie over de beveiliging van onze Cloud Service Providers can gevonden worden op de AWS beveiliginspagina en de Google Cloud beveiligingspagina.
- De kantoren van Wix worden wereldwijd fysiek beveiligd door middel van toegangsbeperking en -beheer via persoonlijke identificatie.
|
Bedrijfscontinuïteit, Incident Response en Disaster Recovery Plan |
- Wix gebruikt datacenters en providers van clouddiensten in verschillende geografische gebieden en in verschillende tijdszones om te zorgen voor de beschikbaarheid en continuïteit van infrastructuur en diensten.
- Wix ontwikkelt en onderhoudt bedrijfscontinuïteit, incident response en disaster recovery plannen die regelmatig getest en geüpdatet worden.
- Wix faciliteert specifieke oplossingen voor beveiliging tegen en mitigatie van de effecten van DDoS-aanvallen.
- Wix heeft toegewijde teams in meerdere regio's om het Wix-platform, de services en de ondersteunende infrastructuur te ondersteunen.
|
Systeemtoegang controles |
- Wix hanteert een toegangscontrolebeleid dat betrekking heeft op het interne netwerk en de systemen van Wix die persoonlijke data verwerken. Dit faciliteert controleprocessen, waaronder het loggen van toegang, monitoring en beperkingen.
- De gegevens en systemen van Wix onderscheiden klantgegevens en -informatie van niet-klantgegevens.
- Het invoeren, verwijderen, en aanpassen van data wordt bijgehouden en bewaard met de datum/tijd en informatie over het relevante personeel.
|
Beveiliging, monitoring en risico-identificatie en beoordeling op applicatieniveau |
- Wix hasht de accountgegevens en wachtwoorden van Wix-gebruikers.
- Wix-gebruikers kunnen ervoor kiezen om two-factor authenticatie in hun Wix-accounts in te stellen voor een extra beveiligingslaag.
- Wix-gebruikers kunnen veel van hun website-machtigingen aanpassen (dit varieert, afhankelijk van de specifieke service en functies die worden gebruikt).
- Alle cloud- en openbare interfaces van Wix worden automatisch op kwetsbaarheden en onjuiste configuraties gescand op regelmatige basis. Wix monitort, detecteert en blokkeert regelmatig inkomende aanvallen op ons platform.
- Penetratietests worden regelmatig uitgevoerd op ons platform door Wix' beveiligingsteam en een externe partij. Resultaten worden geëvalueerd en hersteld (indien nodig).
- Wix onderhoudt een bountyprogramma voor beveiligingsbugs, dat onafhankelijke beveiligingsonderzoekers een platform biedt voor het testen en indienen van kwetsbaarheidsrapporten.
- Wix faciliteert privacycontroles in haar code om de gegevensprivacy van klanten te waarborgen en om te voorkomen dat een klant toegang heeft tot de gegevens van een andere klant.
|
Controle- en beveiligingsmaatregelen voor opslag, verzending en transport van persoonlijke data |
- Alle nieuwe websites die op Wix gemaakt worden, hebben HTTPS automatisch ingeschakeld als onderdeel van de basisdiensten die door Wix geleverd worden.
- Alle kritische interfaces en functies (bijv. gebruikersauthenticatie, betalingstransactie (PCI data) en PII-gerelateerde processes zijn alleen toegankelijk met gebruik van tenminste TLS v1.2.
- Wix heeft een beveiligingsarchitectuur met meerdere lagen om te helpen beschermen tegen 0-day beveiligingsproblemen.
- Firewalls en inbraakpreventiesystemen zijn aanwezig om ongeautoriseerde toegang te voorkomen.
- Wix faciliteert een SOC 24/7/365 monitorprogramma gericht op informatie verzameld uit verschillende bronnen (intern netwerkverkeer, acties van medewerkers op systemen, en doorlopend onderzoek naar kwetsbaarheden). Analyse wordt uitgevoerd met behulp van verschillende tools voor het vastleggen en parsen van verkeer.
|
Bewustwording en training van medewerkers |
- Het beveiligingsteam van Wix communiceert regelmatig met alle medewerkers over onderwerpen als opkomende dreigingen, bewustmakingscampagnes voor phishing, en andere branchegerelateerde beveiligingsonderwerpen.
- Alle Wix-medewerkers:
- Volgen beveiligingstraining wanneer ze aangenomen worden en doorlopend tijdens hun werk (indien vereist), en volgen aanvullende training over specifieke aspecten van beveiliging afhankelijk van hun rol.
- Gaan akkoord met de gedragscode van het bedrijf, welke onze toewijding benadrukt om klantinformatie veilig te houden.
- Ondertekenen een vertrouwelijkheidsverklaring bij indiensttreding.
|
Programma voor risicobeheer bij externen | Voordat Wix nieuwe externe dienstenproviders of leveranciers inschakelt die toegang zullen hebben tot Wix-gegevens, -platform of -systemen, voert Wix een risicobeoordeling uit van de gegevensbeveiligingspraktijken van de leveranciers als onderdeel van Wix' programma voor risicobeheer bij externen. |
Beleid voor rechtshandhavingsverzoeken |
- Wix respecteert de mensenrechten van onze klanten en hun eindgebruikers.
- Als zodanig implementeert Wix een wetshandhavingsverzoekbeleid, dat is ontworpen om ervoor te zorgen dat alle gegevensverzoeken die worden ontvangen van wetshandhavingsinstanties, overheidsinstanties of regelgevende instanties ("autoriteiten") geldig zijn en worden gedaan in overeenstemming met de juridische procedures die van toepassing zijn.
- Wix maakt geen persoonlijke gegevens bekend aan de autoriteiten, tenzij dit vereist wordt door de wetgeving die van toepassing is, en Wix vecht onwettige verzoeken aan. Tenzij daar wettelijk toe verhinderd, zal Wix bij een vordering voor de Gebruikers-van-Gebruikers-informatie van een klant (zoals gedefinieerd in het Privacybeleid van Wix) de relevante autoriteit doorsturen om zulke data direct van de relevante klant, als de beheerder van deze data, te vorderen.
|