Sikkerhed i forbindelse med overførsler af personlige data

En vigtig del af vurderingen af internationale overførsler er analysen af tekniske og organisatoriske foranstaltninger, der beskytter personlige data. Shopify anvender omfattende tekniske og organisatoriske foranstaltninger for at beskytte shopejernes kunders personlige data i overensstemmelse med persondataforordningen (General Data Protection Regulation, GDPR) og andre gældende love om databeskyttelse.

Denne side indeholder en oversigt over vores sikkerhedsprogram, og du kan finde flere oplysninger under Sikkerhed.

Fysisk sikkerhed

Shopify benytter virtuelle hostingmiljøer, der er lagret i datacentre, med branchestandardcertificeringer inden for sikkerhed. Websites er fysisk beskyttet med sikkerhedsforanstaltninger for omgivelserne og flere lags sikkerhedszoner med alarmer, videoovervågning og sikkerhedsmedarbejdere på stedet døgnet rundt, multifaktoridentifikationer, private sikkerhedsceller og fysiske låse. Harddiskene forlader ikke datacentrene. I stedet destrueres de ansvarligt på stedet. Vores servere hostes i datacentre med følgende certificeringer:

Arkitektur

Shopifys platform er baseret på en arkitektur med flere lejere, der er optimeret til effektivitet og fleksibilitet. Shopejernes personlige data adskilles via kontrolelementer på programniveau. Programmiljøet på hver enkelt server (programmet, dens afhængigheder og dens konfigurationsfiler) erstattes, når ændringerne aktiveres, hvilket fjerner vektorer for vedvarende malware.

Applikation

Det er afgørende for vores udviklingsproces at opretholde programsikkerheden. Vores udviklere deltager regelmæssigt i træning om bedste fremgangsmåder for programsikkerhed, og vi holder øje med sårbarheder. Butiksejere kan også opsætte yderligere sikkerhedsfunktioner. Kontoejere kan f.eks.:

  • Aktivere multifaktorgodkendelse for deres konto.
  • Se aktivitetslogge, herunder brugerens seneste loginaktivitet.
  • Angive rollebaserede adgangsniveauer.
  • Håndhæve detaljerede tilladelser for API-omfang.

Totrinsgodkendelse

Funktioner, såsom totrinsgodkendelse, fungerer som et ekstra sikkerhedslag for at gøre det sværere for en uautoriseret person at få adgang til vores shopejeres konti. Dette ekstra lag kan reducere chancen for kontoovertagelser.

Når du forsøger at logge ind, skal du udføre to separate trin:

  1. Angive deres mailadresse og adgangskode; og
  2. Godkende login ved hjælp af en mobilenhed eller en sikkerhedsnøgle.

Det betyder, at andre ikke kan logge ind uden det andet trin, selv om de har fået fat i adgangskoden.

Shopify tilbyder en række totrinsgodkendelsesmetoder, herunder sms, godkendelsesapp og sikkerhedsnøgle.

Få mere at vide under Sådan beskytter du din konto med totrinsgodkendelse.

Kryptering

Oplysninger under forsendelse er krypteret ved hjælp af disse branchestandardprotokoller for kryptografi:

  • SSH
  • HTTPS-TLSv1.2

Shopify bruger HTTPS-protokollen til betalings-, butikslayouts- og administratorsider. Kreditkortoplysninger og andre følsomme oplysninger i operationelle datalagre er krypterede under opbevaringen. Alle brugeradgangskoder saltes og hashes ved hjælp af bcrypt-hashalgoritmen, når de gemmes.

Shopify bruger Transport Layer Security (TLS), som er en krypteringsprotokol, der bruges til at beskytte internetkommunikation, til at beskytte alle forbindelser til shopejer-administratorer og -butikker. Når adresselinjen i en browser ud for en webadresse, der starter med https:// viser et hængelåsikon, betyder det, at forbindelsen bruger TLS. TLS beskytter alle forbindelser til Shopify, herunder forbindelser mellem shopejere og forbindelser mellem shopejere og kunder. Shopify understøtter version TLS 1.2 og nyere i TLS-protokollen.

TLS-certifikater giver shopejerbutikbutikker følgende fordele:

  • De tilføjer et sikkerhedslag ved at kryptere personlige data om kunderne.
  • De hjælper med at opbygge kundetillid ved at vise et hængelåsikon ved siden af webshoppens webadresse.

Få mere at vide under Transport Layer Security og Aktivering af sikre forbindelser til din Shopify-butik.

PCI-overholdelse

Shopify er certificeret i forhold til overholdelse af PCI DSS på niveau 1. PCI Security Standards Council er en globalt anerkendt organisation, der er dedikeret til at opretholde standarder for sikker behandling af kreditkorttransaktioner. Det hjælper forhandlere som Shopify-shopejere med at behandle kreditkortbetalinger sikkert og beskytte oplysninger om kortindehaveren.

Hos Shopify tager vi hosting af din butik alvorligt, og vi har investeret en betydelig mængde tid og penge for at sikre, at vores løsning overholder PCI DSS. Vi arbejder hårdt for at beskytte vores indkøbskurv og e-handelhosting – lige fra årlige bedømmelser, der validerer overholdelsen, til løbende risikostyring.

Alle butikker, der er drevet af Shopify, er som standard kompatible med PCI DSS, så vores shopejere kan beskytte betalingsoplysninger og virksomhedsdata.

Vores overholdelse dækker de seks PCI-standardmål:

  • Oprethold et sikkert netværk.
  • Beskyt data om kortindehavere.
  • Oprethold et administrationsprogram for sårbarheder.
  • Brug stærke adgangskontroller.
  • Regelmæssig overvågning og test af netværk.
  • Oprethold en politik til beskyttelse af oplysninger.

Se Shopifys PCI-overholdelse for at få flere oplysninger.

Service Organization Control (SOC)

Rapporter for Service Organization Control (SOC) er bedømmelser af en virksomheds informationssystemer foretaget af tredjepartsauditører, der certificerer, at firmaet opfylder et uafhængigt sæt af standarder, herunder kriterier relateret til dets tjenesters sikkerhed og tilgængelighed.

Shopify har fået udstedt følgende rapporter for den tjeneste, vi leverer til vores kunder:

  • SOC 2 type II
  • SOC 3

Få mere at vide i vores rapporter for overholdelse. Alle, der er logget ind som shopejer, kan her finde rapporten SOC 2 type II.

Andre vigtige oplysninger om sikkerhed

Shopifys sikkerhedskontroller omfatter en række vigtige sikkerhedsfunktioner som disse:

  • Der udføres jævnligt sårbarhedsscanninger og indtrængningstests af tredjeparter for at identificere og løse potentielle svagheder i sikkerheden.
  • Server- og appeffektivitet overvåges løbende af vores produktionstekniske team.
  • Vores værktøj til konfigurationsadministration sikrer, at servere anvender den aktuelle konfiguration.
  • Shopify overvåger relevante sårbarheder og kilder til sikkerhedsopdateringer og handler på disse efter behov.
  • Shopejere og sikkerhedseksperter kan teste deres eget butikslayout.
  • Shopejere opfordres til at rapportere problemer med platformen til vores HackerOne-program.
  • Vores systemer er udviklet til hurtig gendannelse af data, hvis der skulle ske en ulykke. Gendannelse af sikkerhedskopier testes dagligt.
  • Shopify har flere redundansniveauer, der sikrer, at shopejerdata er tilgængelige for shopejere, og at kunderne kan bruge shopejerbutikker.
  • Vi har en formel proces til besvarelse og løsning af hændelser.
  • Medarbejderes enheder administreres centralt for at implementere og begrænse sikkerhedsforanstaltninger i overensstemmelse med Shopifys sikkerhedspolitikker.
  • Konfigurationen af Web Application Firewall (WAF) findes på hele platformen.
  • Shopify tilbyder forebyggelse af datatab via platforms- og sikkerhedsovervågning, såsom systemer til forebyggelse/registrering af indtrængen (IDS/IPS) i følsomme miljøer.
  • Shopify implementerer adgangskontroller baseret på roller, der følger princippet om mindste privilegier.
  • Vi hjælper med årlige sikkerhedsgennemgange ved at levere vores uafhængige auditrapporter, som f.eks. SOC 2 type II.
  • Medarbejdere modtager undervisning i informationssikkerhed og kontraktlige forpligtelser om fortrolighed.

Få mere at vide under Sikkerhed.

Er du klar til at begynde at sælge med Shopify?

Prøv det gratis