Bezpieczeństwo przekazywania danych osobowych

Ważnym elementem oceny transgranicznego przekazywania danych jest analiza środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa danych osobowych. Zgodnie z Rozporządzeniem o ochronie danych osobowych (RODO) i innymi obowiązującymi przepisami o ochronie danych, Shopify zapewnia kompleksowe środki techniczne i organizacyjne mające na celu zapewnienie bezpieczeństwa danych osobowych klientów sprzedawców.

Ta strona zawiera podsumowanie naszego programu bezpieczeństwa. Więcej informacji znajduje się w sekcji Bezpieczeństwo.

Bezpieczeństwo fizyczne

Shopify wykorzystuje wirtualne środowiska hostingowe przechowywane w centrach danych posiadających branżowe certyfikaty bezpieczeństwa. Obiekty są fizycznie zabezpieczone przez ochronę obwodową i wielopoziomowe strefy zabezpieczeń z alarmami, monitoringiem CCTV i całodobowym personelem ochrony pracującym na miejscu, identyfikacją wieloskładnikową, prywatnymi klatkami i fizycznymi zamkami. Dyski twarde nie są wynoszone poza centra danych, lecz są bezpiecznie niszczone na miejscu. Nasze serwery są hostowane w centrach danych posiadających następujące certyfikaty:

Architektura

Platforma Shopify opiera się na architekturze typu multi-tenant zoptymalizowanej pod kątem wydajności i odporności. Dane osobowe sprzedawców są segregowane za pomocą kontroli na poziomie aplikacji. Środowisko aplikacji na każdym serwerze (aplikacja, jej zależności i pliki konfiguracyjne) jest zastępowane po wdrożeniu zmian, co eliminuje wektory trwałości złośliwego oprogramowania.

Zastosowanie

Utrzymanie bezpieczeństwa aplikacji ma kluczowe znaczenie dla naszego procesu rozwoju. Nasi programiści są regularnie szkoleni w zakresie najlepszych praktyk dotyczących bezpieczeństwa aplikacji. Ponadto monitorujemy luki w zabezpieczeniach. Właściciele sklepów mogą również skonfigurować dodatkowe funkcje bezpieczeństwa. Właściciele kont mogą na przykład:

  • Aktywować uwierzytelnianie wieloskładnikowe na swoim koncie.
  • Wyświetlać logi aktywności, w tym ostatnią aktywność logowania według użytkownika.
  • Ustawić poziomy dostępu oparte na rolach.
  • Wymuszać szczegółowe uprawnienia zakresu API.

Uwierzytelnianie dwuetapowe

Takie funkcje jak uwierzytelnianie dwuetapowe działają jako dodatkowa warstwa zabezpieczeń utrudniająca nieuprawnionej osobie dostęp do konta sprzedawców. Ta dodatkowa warstwa może zmniejszyć prawdopodobieństwo przejęcia konta.

Przy próbie zalogowania się musisz wykonać dwa oddzielne kroki:

  1. Wprowadź swój adres e-mail i hasło oraz
  2. Uwierzytelnij logowanie za pomocą urządzenia mobilnego lub klucza bezpieczeństwa.

Dzięki temu, nawet jeśli ktoś inny pozna Twoje hasło, nie będzie mógł się zalogować bez drugiego kroku.

Shopify oferuje wiele metod uwierzytelniania dwuetapowego, w tym z wykorzystaniem SMS-ów, aplikacji uwierzytelniającej i klucza bezpieczeństwa.

Aby uzyskać więcej informacji, zapoznaj się z tematem Zabezpieczanie konta za pomocą uwierzytelniania dwuetapowego.

Szyfrowanie

Przesyłane informacje są szyfrowane przy użyciu poniższych standardowych protokołów kryptograficznych:

  • SSH
  • HTTPS-TLSv1.2

Shopify używa protokołu HTTPS dla stron realizacji zakupu, witryn sklepu i panelu administracyjnego. Dane kart kredytowych i inne wrażliwe informacje w magazynach danych operacyjnych są szyfrowane w stanie spoczynku. Wszystkie hasła użytkowników są podczas przechowywania solone i szyfrowane przy użyciu algorytmu mieszającego bcrypt.

Shopify korzysta z protokołu Transport Layer Security (TLS), który jest protokołem szyfrowania używanym do zabezpieczania komunikacji internetowej, w celu zabezpieczenia wszystkich połączeń z administratorem sprzedawców i sklepami. Gdy na pasku adresu przeglądarki obok adresu URL rozpoczynającego się od https:// widoczna jest ikona kłódki, oznacza to, że połączenie korzysta z protokołu TLS. TLS zabezpiecza wszystkie połączenia z Shopify, w tym połączenia ze sprzedawcami i klientami sprzedawców. Shopify obsługuje wersję TLS 1.2 i wyższą wersję protokołu TLS.

Certyfikaty TLS zapewniają sklepom sprzedawców następujące korzyści:

  • Dodają warstwę zabezpieczeń poprzez szyfrowanie danych osobowych klientów.
  • Pomagają zdobyć zaufanie klientów dzięki wyświetlaniu ikony kłódki obok adresu URL sklepu online.

Aby uzyskać więcej informacji, zapoznaj się z sekcją Transport Layer Security i Włączanie bezpiecznych połączeń ze sklepem Shopify.

Zgodność z PCI

Firma Shopify posiada certyfikat zgodności ze standardem PCI DSS poziomu 1. PCI Security Standards Council to uznana na całym świecie organizacja zajmująca się utrzymywaniem standardów bezpiecznego przetwarzania transakcji z użyciem kart kredytowych. Pomaga sprzedawcom, takim jak Shopify, bezpiecznie przetwarzać płatności kartą kredytową i chronić dane posiadacza karty.

W firmie Shopify poważnie podchodzimy do kwestii bezpiecznego hostingu sklepu. Zainwestowaliśmy dużo czasu i pieniędzy, aby zapewnić zgodność naszego rozwiązania ze standardem PCI DSS. Od corocznych ocen potwierdzających zgodność po ciągłe zarządzanie ryzykiem – dokładamy wszelkich starań, aby zapewnić bezpieczeństwo naszych koszyków i hostingu e-commerce.

Wszystkie sklepy obsługiwane przez Shopify są domyślnie zgodne ze standardem PCI DSS, dzięki czemu nasi sprzedawcy mogą bezpiecznie przechowywać informacje o płatnościach i dane biznesowe.

Nasza zgodność z przepisami obejmuje sześć standardowych celów PCI:

  • Utrzymanie bezpieczeństwa sieci.
  • Zabezpieczenie danych posiadacza karty.
  • Realizacja programu zarządzania podatnościami.
  • Wdrożenie efektywnych kontroli dostępu.
  • Regularne monitorowanie i testowanie sieci.
  • Realizacja polityki bezpieczeństwa informacji.

Aby uzyskać więcej informacji, zapoznaj się z tematem Zgodność Shopify z PCI.

Service Organization Control (SOC)

Raporty Service Organization Control (SOC) to oceny systemów informatycznych firmy przeprowadzane przez zewnętrznych audytorów, którzy poświadczają, że firma spełnia niezależny zestaw standardów, w tym kryteria związane z bezpieczeństwem i dostępnością jej usług.

Firma Shopify otrzymała następujące raporty dotyczące usług świadczonych klientom:

  • SOC 2 Type II
  • SOC 3

Aby uzyskać więcej informacji, zapoznaj się z naszymi Raportami dotyczącymi zgodności z przepisami. Każda osoba zalogowana jako sprzedawca może znaleźć tam raport SOC 2 Typ II.

Inne istotne elementy bezpieczeństwa

Kontrole bezpieczeństwa Shopify obejmują kilka podstawowych funkcji bezpieczeństwa, takich jak:

  • Skanowanie luk w zabezpieczeniach i testy penetracyjne firm zewnętrznych przeprowadzane są regularnie w celu zidentyfikowania i usunięcia potencjalnych słabych punktów zabezpieczeń.
  • Wydajność serwera i aplikacji jest stale monitorowana przez nasz zespół ds. inżynierii produkcji.
  • Nasze narzędzia do zarządzania konfiguracją zapewniają zastosowanie aktualnej konfiguracji w serwerach.
  • Shopify monitoruje odpowiednie źródła ujawniania luk w zabezpieczeniach i aktualizacji zabezpieczeń oraz w razie potrzeby podejmuje odpowiednie działania.
  • Sprzedawcy i wykonawcy usług zabezpieczeń mogą przeprowadzać testy we własnej witrynie sklepu.
  • Zachęcamy sprzedawców do zgłaszania tego, co znajdą na platformie, w ramach naszego Programu HackerOne.
  • Nasze systemy zostały zaprojektowane z myślą o szybkim odzyskiwaniu danych w przypadku awarii. Odzyskiwanie kopii zapasowych jest testowane codziennie.
  • Shopify ma wiele poziomów redundancji, aby zapewnić sprzedawcom dostęp do danych sprzedawców i umożliwić klientom korzystanie ze sklepów sprzedawców.
  • Posiadamy formalny proces reagowania na incydenty i ich rozwiązywania.
  • Urządzenia pracowników są zarządzane centralnie w celu wdrożenia i ograniczenia środków bezpieczeństwa zgodnie z zasadami bezpieczeństwa Shopify.
  • Konfiguracja zapory aplikacji sieci Web (WAF) znajduje się na całej platformie.
  • Shopify zapewnia zapobieganie utracie danych poprzez monitorowanie platformy i bezpieczeństwa, np. za pomocą systemów zapobiegania/wykrywania włamań (IDS/IPS) we wrażliwych środowiskach.
  • Shopify wdraża kontrolę dostępu w oparciu o rolę, zgodnie z zasadą najmniejszych uprawnień.
  • Pomagamy w corocznych przeglądach bezpieczeństwa, dostarczając nasze niezależne raporty z audytu, np. SOC 2 Typ II.
  • Pracownicy przechodzą szkolenia w zakresie świadomości na temat bezpieczeństwa informacji i zobowiązań umownych dotyczących poufności.

Aby uzyskać więcej informacji, zapoznaj się z tematem Bezpieczeństwo.

Gotowy(-a) do rozpoczęcia sprzedaży za pomocą Shopify?

Wypróbuj za darmo