Overdracht van persoonsgegevens beveiligen

Een belangrijk element voor het beoordelen van internationale overdrachten is de analyse van technische en organisatorische maatregelen om persoonsgegevens veilig te houden. In overeenstemming met de Algemene Verordening Gegevensbescherming (AVG) en andere toepasselijke gegevensbeschermingswetten, biedt Shopify uitgebreide technische en organisatorische maatregelen om de persoonsgegevens van klanten van merchants te beveiligen.

Deze pagina bevat een overzicht van ons beveiligingsprogramma en meer informatie is te vinden op Beveiliging.

Fysieke beveiliging

Shopify maakt gebruik van virtuele hostingomgevingen die in datacenters zijn opgeslagen met beveiligingscertificeringen volgens de industrienormen. Locaties worden fysiek beschermd door perimeterbeveiliging en meerlaagse beveiligingszones met alarmen, CCTV-bewaking en 24/7 beveiligingspersoneel op locatie, multifactoridentificaties, beveiligingskooien en fysieke sloten. Vaste schijven komen nooit buiten het datacenter; ze worden veilig vernietigd op de locatie. Onze servers worden gehost in datacenters met de volgende certificeringen:

Architectuur

Het platform van Shopify is gebaseerd op een architectuur met meerdere tenants, geoptimaliseerd voor prestaties en veerkracht. De persoonsgegevens van merchants worden op applicatieniveau afgescheiden gehouden. De applicatieomgeving op elke server (de applicatie, de afhankelijkheden en de configuratiebestanden) wordt vervangen wanneer er wijzigingen worden geïmplementeerd, waardoor er geen kans meer is op persistentie van malware.

Toepassing

Het handhaven van applicatiebeveiliging is cruciaal voor ons ontwikkelproces. Onze ontwikkelaars volgen regelmatig trainingen over best practices op het gebied van applicatiebeveiliging en we controleren op kwetsbaarheden. Winkeleigenaren kunnen ook extra beveiligingsfuncties instellen. Accounteigenaren kunnen bijvoorbeeld:

  • meerledige verificatie activeren voor hun account;
  • activiteitenlogboeken bekijken, inclusief recente inlogactiviteiten per gebruiker;
  • op rollen gebaseerde toegangsniveaus instellen;
  • granulaire machtigingen voor API-scopes handhaven.

Tweestapsverificatie

Functies als tweestapsverificatie vormen een extra beveiligingslaag om het voor onbevoegden moeilijker te maken toegang te krijgen tot de accounts van onze merchants. Deze extra laag kan de kans op accountovername verkleinen.

Inloggen gaat in twee afzonderlijke stappen:

  1. Voer het e-mailadres en wachtwoord in.
  2. Verifieer de inloggegevens op een mobiel apparaat of met een beveiligingssleutel.

Op deze manier kan er niet worden ingelogd zonder de tweede stap, ook niet als een buitenstaander het wachtwoord te weten is gekomen.

Shopify biedt een aantal tweestapsverificatiemethoden, waaronder sms, verificatie-app en beveiligingssleutel.

Zie Je account beveiligen met tweestapsverificatie voor meer informatie.

Versleuteling

Informatie die onderweg is, wordt versleuteld met behulp van deze industriestandaard cryptografische protocollen:

  • SSH
  • HTTPS-TLSv1.2

Shopify gebruikt het HTTPS-protocol voor de checkout, webshops en beheerpagina's. Creditcardgegevens en andere gevoelige informatie in operationele gegevensopslag worden versleuteld als ze niet worden gebruikt. Alle wachtwoorden van gebruikers ondergaan een 'salting'- en 'hashing'-behandeling met behulp van het hashing-algoritme bcrypt wanneer ze worden opgeslagen.

Shopify gebruikt Transport Layer Security (TLS), een versleutelingsprotocol dat wordt gebruikt om internetcommunicatie te beveiligen, om alle verbindingen met het beheercentrum en de winkels van merchants te beveiligen. Wanneer in de adresbalk van een browser naast een URL die begint met https:// een hangslotpictogram wordt weergegeven, betekent dit dat de verbinding TLS gebruikt. TLS beschermt alle verbindingen met Shopify, inclusief merchantverbindingen en merchant-klantverbindingen. Shopify ondersteunt versie 1.2 en hoger van het TLS-protocol.

TLS-certificaten bieden merchantwinkels de volgende voordelen:

  • Ze voegen een beveiligingslaag toe door de persoonsgegevens van klanten te versleutelen.
  • Ze helpen het vertrouwen van je klanten te versterken door een hangslotpictogram naast de URL van je onlinewinkel weer te geven.

Zie Transport Layer Security en Beveiligde verbindingen met je Shopify-winkel inschakelen voor meer informatie.

PCI-naleving

Shopify is PCI-DSS-compliant (niveau 1). De PCI Security Standards Council is een wereldwijd erkende organisatie die zich inzet voor het handhaven van standaarden voor de veilige verwerking van creditcardtransacties. De organisatie helpt verkopers, zoals Shopify-merchants, met de veilige verwerking van creditcardbetalingen en de bescherming van de gegevens van kaarthouders.

Bij Shopify nemen we het veilig hosten van jouw winkel erg serieus en we hebben een aanzienlijke hoeveelheid tijd en geld geïnvesteerd om ervoor te zorgen dat onze oplossing PCI DSS-compliant is. We werken er hard aan om onze winkelwagen- en e-commercehosting veilig te houden, van jaarlijkse evaluaties die de naleving valideren tot doorlopend risicobeheer.

Alle Powered by Shopify-winkels voldoen standaard aan PCI DSS, zodat onze merchants hun betaal- en bedrijfsgegevens veilig kunnen houden.

Onze naleving dekt de zes standaarddoelen van PCI:

  • zorgen voor een beveiligd netwerk;
  • gegevens van kaarthouders beschermen;
  • een programma voor het beheer van kwetsbaarheden onderhouden;
  • krachtige toegangscontroles implementeren;
  • netwerken regelmatig controleren en testen;
  • informatiebeveiligingsbeleid hanteren.

Zie PCI-naleving van Shopify voor meer informatie.

Service Organization Control (SOC)

SOC-rapporten (Service Organization Control) zijn evaluaties van de informatiesystemen van een bedrijf door externe auditors die officieel verklaren dat het bedrijf voldoet aan een onafhankelijke reeks normen, waaronder criteria voor de beveiliging en beschikbaarheid van de diensten.

Shopify heeft de volgende rapporten gekregen voor de service die we aan onze klanten bieden:

  • SOC 2, Type II
  • SOC 3

Zie onze Nalevingsrapporten voor meer informatie. Iedereen die als merchant is ingelogd, kan het SOC 2 Type II-rapport daar vinden.

Andere essentiële beveiligingsmaatregelen

Shopify voert een aantal essentiële beveiligingsfuncties uit, zoals:

  • Er worden regelmatig kwetsbaarhedenscans en penetratietests door externe partijen uitgevoerd om mogelijke zwakke plekken in de beveiliging te achterhalen en te verhelpen.
  • De prestaties van servers en apps worden continu bewaakt door ons team van technici.
  • Onze tools voor configuratiebeheer zorgen ervoor dat de actuele configuratie op servers wordt toegepast.
  • Shopify houdt de bronnen voor het bekendmaken van kwetsbaarheden en beveiligingsupdates in de gaten en onderneemt actie als dat nodig is.
  • Merchants en beveiligers kunnen testen op hun eigen webshop.
  • Merchants worden aangemoedigd bevindingen van het platform te melden aan ons HackerOne-programma.
  • Onze systemen zijn ontworpen om in het geval van calamiteiten snel gegevens te kunnen herstellen. Back-upherstel wordt dagelijks getest.
  • Shopify hanteert meerdere redundantieniveaus om ervoor te zorgen dat merchants bij hun gegevens kunnen en dat klanten de winkels van merchants kunnen gebruiken.
  • We hebben een formeel proces voor incidentrespons en -oplossing.
  • Apparaten van medewerkers worden centraal beheerd om beveiligingsmaatregelen te implementeren en te beperken in overeenstemming met het beveiligingsbeleid van Shopify.
  • WAF-configuratie (Web Application Firewall) is platformbreed aanwezig.
  • Shopify biedt preventie van gegevensverlies door middel van platform- en beveiligingsmonitoring, zoals inbraakpreventie-/detectiesystemen (IDS/IPS) in gevoelige omgevingen.
  • Shopify implementeert op rollen gebaseerde toegangscontroles volgens het principe van toegang met minimale privileges (Principle of Least Privilege, PoLP).
  • We helpen bij jaarlijkse beveiligingsevaluaties met onze onafhankelijke auditrapporten, zoals SOC 2 Type II.
  • Medewerkers krijgen bewustwordingstraining over informatiebeveiliging en contractuele geheimhoudingsverplichtingen.

Zie Beveiliging voor meer informatie.

Klaar om te beginnen met verkopen met Shopify?

Probeer het gratis