Segurança de transferências de dados pessoais

A análise de medidas técnicas e organizacionais para proteger os dados pessoais é um elemento importante na avaliação das transferências internacionais. Em conformidade com o Regulamento Geral de Proteção de Dados (GDPR) e outras leis aplicáveis de proteção de dados, a Shopify implementa medidas técnicas e organizacionais completas para manter os dados pessoais dos clientes lojistas protegidos e seguros.

Esta página fornece um resumo do nosso programa de segurança, e mais informações podem ser encontradas em Segurança.

Segurança física

A Shopify aproveita os ambientes de hospedagem virtual armazenados em data centers com certificações de segurança padrão do setor. As instalações são fisicamente protegidas por segurança perimetral e zonas de segurança de vários níveis com alarmes, vigilância por circuito fechado de TV, equipe de segurança no local em tempo integral, identificações de vários fatores, celas privadas e fechaduras físicas. Os discos rígidos não saem dos data centers; em vez disso, eles são destruídos com segurança no local. Nossos servidores estão hospedados em data centers com as seguintes certificações:

Arquitetura

A plataforma da Shopify se baseia em uma arquitetura com vários locatários, otimizada para desempenho e resiliência. Os dados pessoais do lojista são segregados pelos controles no nível do app. O ambiente do app em cada servidor (o app, suas dependências e seus arquivos de configuração) é substituído quando são implantadas alterações, o que elimina vetores para a persistência de malware.

Solicitação

Manter a segurança dos apps é crucial para nosso processo de desenvolvimento. Nossos desenvolvedores recebem treinamento constante sobre práticas recomendadas de segurança de apps, e monitoramos as possíveis vulnerabilidades. Os titulares das lojas também podem configurar recursos de segurança adicionais. Por exemplo, os titulares das contas podem:

  • ativar a autenticação de vários fatores na conta deles;
  • ver os registros de atividades, incluindo atividades de login recentes por usuário;
  • definir níveis de acesso com base na função;
  • aplicar as permissões granulares do escopo da API.

Autenticação em duas etapas

Recursos como a autenticação em duas etapas agem como uma camada adicional de segurança para tornar mais difícil para uma pessoa não autorizada acessar as contas dos nossos lojistas. Essa camada extra pode reduzir a probabilidade de roubo de contas.

Ao tentar fazer login, é preciso concluir duas etapas separadas:

  1. Inserir o endereço de e-mail e a senha; e
  2. Autenticar o login usando um dispositivo móvel ou uma chave de segurança.

Desse modo, mesmo que outra pessoa descubra a senha, não conseguirá fazer o login sem a segunda etapa.

A Shopify oferece vários métodos de autenticação em duas etapas, incluindo SMS, app de autenticação e chave de segurança.

Para saber mais, consulte Proteger sua conta com a autenticação em duas etapas.

Criptografia

As informações em trânsito são criptografadas usando estes protocolos criptográficos padrão do setor:

  • SSH
  • HTTPS-TLSv1.2

A Shopify usa o protocolo HTTPS para checkout, vitrines e páginas do admin. Dados de cartões de crédito e outras informações confidenciais armazenadas em bancos de dados operacionais são criptografadas em repouso. Todas as senhas de usuário recebem valores de sal e são protegidas por hash usando o algoritmo de hashing bcrypt quando armazenadas.

A Shopify usa o Transport Layer Security (TLS), um protocolo de criptografia usado na segurança das comunicações pela Internet, para proteger todas as conexões com o admin dos lojistas e as lojas. Quando a barra de endereços de um navegador ao lado de um URL que começa com https:// mostra um ícone de cadeado, significa que a conexão usa TLS. O TLS protege todas as conexões com a Shopify, incluindo aquelas entre lojistas e clientes. A Shopify é compatível com a versão TLS 1.2 e superior do protocolo TLS.

Os certificados de TLS dão às lojas os seguintes benefícios:

  • Eles criptografam os dados pessoais do cliente para adicionar uma camada de segurança.
  • Eles exibem um ícone de cadeado ao lado do URL da loja virtual para aumentar a confiança dos clientes.

Para saber mais, consulte Transport Layer Security e Habilitar conexões seguras à loja da Shopify.

Conformidade com o padrão PCI

A Shopify tem certificação de conformidade com PCI DSS Nível 1. O Conselho de normas de segurança PCI é uma organização reconhecida mundialmente e dedicada a manter padrões para o processamento seguro de transações com cartão de crédito. Ele ajuda fornecedores como os lojistas da Shopify a processar pagamentos com cartão de crédito de forma segura e proteger as informações de titulares de cartões.

A Shopify leva a sério a hospedagem segura da sua loja e investe uma quantidade significativa de tempo e dinheiro para garantir que nossa solução esteja em conformidade com o PCI DSS. Desde avaliações anuais validando a conformidade até o gerenciamento contínuo de riscos, trabalhamos para manter a segurança da nossa hospedagem de carrinhos de compras e e-commerce.

Todas as lojas com tecnologia da Shopify estão em conformidade com o PCI DSS por padrão, para que nossos lojistas possam manter as informações de pagamento e os dados da empresa seguros.

Nossa conformidade abrange os seis objetivos padrão do PCI:

  • Manter uma rede segura.
  • Proteger os dados dos titulares de cartões.
  • Manter um programa de gestão de vulnerabilidades.
  • Implementar controles de acesso fortes.
  • Monitorar e testar regularmente as redes.
  • Manter uma política de segurança das informações.

Consulte a Conformidade com PCI da Shopify para saber mais.

Controle da organização de serviços (SOC, na sigla em inglês)

Os relatórios do Controle da organização de serviços (SOC) são avaliações dos sistemas de informações de uma empresa por meio de terceiros que certificam que a empresa atende a um conjunto independente de padrões, incluindo critérios relacionados à segurança e disponibilidade de seus serviços.

A Shopify emitiu os seguintes relatórios sobre o serviço que fornecemos a nossos clientes:

  • SOC 2, Tipo II
  • SOC 3

Para saber mais, consulte nossos Relatórios de conformidade. Qualquer pessoa que fizer login como lojista poderá encontrar ali o relatório SOC 2 Tipo II.

Outros elementos essenciais de segurança

Os controles de segurança da Shopify incluem recursos essenciais de segurança como estes:

  • Varreduras de vulnerabilidades e testes de penetração de terceiros são realizados regularmente para identificar e corrigir possíveis falhas de segurança.
  • O desempenho de servidores e apps é monitorado continuamente por nossa equipe de engenharia de produção.
  • Nossas ferramentas de gerenciamento de configuração garantem que os servidores tenham a configuração atual aplicada.
  • A Shopify monitora fontes relevantes de divulgação de vulnerabilidades e atualizações de segurança, e age conforme necessário.
  • Lojistas e contratados de segurança podem fazer testes em sua própria vitrine.
  • Os lojistas são incentivados a reportar constatações sobre a plataforma ao nosso Programa HackerOne.
  • Nossos sistemas são projetados para recuperação rápida de dados em caso de desastre. A recuperação de backup é testada diariamente.
  • A Shopify tem vários níveis de redundância para garantir que os dados dos lojistas estejam disponíveis para eles e para que os clientes possam usar as lojas.
  • Temos um processo formal de resposta e resolução de incidentes.
  • Os dispositivos dos funcionários são gerenciados centralmente para implementar e restringir medidas de segurança de acordo com as políticas de segurança da Shopify.
  • A configuração de Web Application Firewall (WAF) existe em toda a plataforma.
  • A Shopify oferece Prevenção contra perdas de dados por meio de monitoramento da plataforma e da segurança, como sistemas de prevenção/detecção de intrusões (IDS/IPS) em ambientes sensíveis.
  • A Shopify implementa controles de acesso com base na função seguindo o princípio do privilégio mínimo.
  • Ajudamos com avaliações de segurança anuais fornecendo nossos relatórios de auditoria independentes, como o SOC 2 Tipo II.
  • Os funcionários recebem treinamento de conscientização sobre segurança da informação e obrigações de confidencialidade contratual.

Para saber mais, consulte Segurança.

Tudo pronto para começar a vender com a Shopify?

Experimente de graça