Säkerhet vid överföring av personuppgifter

En viktig del av att utvärdera internationella överföringar är analysen av tekniska och organisatoriska åtgärder för att hålla personuppgifter säkra. I överensstämmelse med den allmänna dataskyddsförordningen (GDPR) och andra tillämpliga dataskyddslagar, vidtar Shopify omfattande tekniska och organisatoriska åtgärder för att hålla handlares kunders personuppgifter säkra och skyddade.

Den här sidan ger en sammanfattning av vårt säkerhetsprogram och mer information finns under Säkerhet.

Fysisk säkerhet

Shopify utnyttjar virtuella värdmiljöer som lagras i datacentra med säkerhetscertifikat av branschstandard. Webbplatser är fysiskt skyddade av avspärrningar och säkerhetszoner i flera nivåer med larm, kameraövervakning, säkerhetspersonal på plats dygnet runt, flerfaktoridentifiering, privata burar och fysiska lås. Hårddiskar lämnar inte datacentra, utan förstörs på ett säkert sätt på platsen. Våra servrar hostas på datacentra med följande certifieringar:

Arkitektur

Shopifys plattform är baserad på arkitektur för flera klienter, optimerad för prestanda och prestation. Handlarens personuppgifter är segregerade av kontroller som finns på applikationsnivå. Applikationsmiljön på varje server (applikationen, dess beroenden och dess konfigurationsfiler) ersätts när ändringar förs in, vilket eliminerar vektorer för skadlig programvara.

Applikation

Att upprätthålla applikationssäkerhet är viktigt för vår utvecklingsprocess. Våra utvecklare utbildas regelbundet med bästa praxis för applikationssäkerhet, och vi håller koll på eventuella avvikelser. Butiksägare kan också ställa in ytterligare säkerhetsfunktioner. Kontoägare kan till exempel:

  • Aktivera multifaktorsautentisering på sitt konto.
  • Visa aktivitetsloggar, inklusive användarens senaste inloggningsaktivitet.
  • Ange rollbaserade åtkomstnivåer.
  • Tillämpa granulära API-scope-behörigheter.

Tvåstegsautentisering

Funktioner såsom tvåstegsautentisering fungerar som ett ytterligare säkerhetslager för att göra det svårare för en obehörig person att komma åt våra handlares konton. Detta extra lager kan minska risken för kontoövertagande.

När du försöker logga in måste du slutföra två separata steg:

  1. Ange e-postadress och lösenord och
  2. Autentisera inloggningen med hjälp av en mobil enhet eller säkerhetsnyckel.

På så sätt kan någon annan inte logga in utan det andra steget, även om denna person får reda på lösenordet.

Shopify erbjuder ett antal tvåstegsautentiseringsmetoder, inklusive SMS, autentiseringsapp och säkerhetsnyckel.

För mer information, se Säkra ditt konto med tvåstegsautentisering.

Kryptering

Information under transport krypteras med hjälp av dessa kryptografiska protokoll enligt branschstandard:

  • SSH
  • HTTPS-TLSv1.2

Shopify använder HTTPS-protokollet för kassa, skyltfönster och administratörssidor. Kontokortsuppgifter och annan känslig information i driftdatabutiker krypteras i vila. Alla användarlösenord krypteras och hashas med hjälp av bcrypt-hashningsalgoritm när de lagras.

Shopify använder Transport Layer Security (TLS), ett krypteringsprotokoll som används för att säkra internetkommunikation, för att säkra alla anslutningar till handlaradministratörer och butiker. När adressfältet i en webbläsare bredvid en URL som börjar med https:// visar en hänglåsikon betyder det att anslutningen använder TLS. TLS skyddar alla anslutningar till Shopify, inklusive handlares anslutningar och kundanslutningar för handlare. Shopify stöder version TLS 1.2 och högre av TLS-protokollet.

TLS-certifikat ger handlarbutiker följande fördelar:

  • De lägger till ett lager av säkerhet genom att kryptera kunders personuppgifter.
  • De bidrar till att bygga upp dina kunders förtroende genom att visa en hänglåsikon bredvid din webbshops URL.

För mer information, se Transport Layer Security och Aktivera säkra anslutningar till din Shopify-butik.

PCI-överensstämmelse

Shopify är certifierat PCI DSS-kompatibelt på nivå 1. PCI Security Standards Council är en globalt erkänd organisation som arbetar med att upprätthålla standarder för säker hantering av kontokortstransaktioner. Det hjälper säljare som Shopify-handlare att behandla kontokortsbetalningar på ett säkert sätt och skydda kortinnehavarens information.

Vi på Shopify tar seriöst på att säkert hosta din butik och har investerat betydande tid och pengar för att se till att vår lösning är PCI DSS-kompatibel. Från att årligen validera efterlevnad till kontinuerlig riskhantering arbetar vi hårt för att hålla vår varukorgs- och e-handelshosting säker.

Alla butiker som drivs av Shopify är PCI DSS-kompatibla som standard så att våra handlare kan hålla betalningsinformation och företagsdata säkra.

Vår efterlevnad täcker de sex standardmålen för PCI:

  • Upprätthåll ett säkert nätverk.
  • Skydda uppgifter om kortinnehavare.
  • Hantera ett program för sårbarhetshantering.
  • Implementera starka åtkomstkontroller.
  • Övervaka regelbundet och testa nätverk.
  • Upprätthåll en informationssäkerhetspolicy.

Se Shopifys PCI-efterlevnad för mer information.

SOC (tjänsteorganisationskontroll)

Rapporter om tjänsteorganisationskontroll (SOC) är analyser avseende ett företags informationssystem genom tredjepartsrevisorer som intygar att företaget uppfyller en oberoende uppsättning standarder, inklusive kriterier relaterade till säkerhet och tillgänglighet för dess tjänster.

Shopify har utfärdat följande rapporter för den tjänst vi tillhandahåller våra kunder:

  • SOC 2, typ II
  • SOC 3

Se våra efterlevnadsrapporter för mer information. Alla som är inloggade som handlare kan hitta SOC 2 typ II-rapporten där.

Andra väsentliga säkerhetsaspekter

Shopifys säkerhetskontroller inkluderar ett antal viktiga säkerhetsfunktioner såsom dessa:

  • Sårbarhetsgenomgångar och penetrationstestar av tredje part utförs regelbundet för att identifiera och lösa potentiella säkerhetssvagheter.
  • Server- och applikationsprestanda kontrolleras kontinuerligt av vårt produktionsteknikteam.
  • Vårt verktyg för konfigurationshantering säkerställer att servrar har aktuell konfigurering tillämpad.
  • Shopify övervakar tillämpliga sårbarhetsavslöjanden och säkerhetsuppdateringskällor och vidtar åtgärder vid behov.
  • Handlare och säkerhetsentreprenörer kan testa på sitt eget skyltfönster.
  • Handlare uppmanas att rapportera plattformsresultat till vårt HackerOne-program.
  • Våra system är utformade för att snabbt kunna återställa data i händelse av en katastrof. Säkerhetsåterställning testas dagligen.
  • Shopify har flera nivåer av redundans för att säkerställa att uppgifter om handlare är tillgängliga för handlare och att kunder kan använda handlarbutiker.
  • Vi har en formell process för incidentsvar och lösningar.
  • Medarbetarenheter hanteras centralt för att implementera och begränsa säkerhetsåtgärder i linje med Shopifys säkerhetspolicyer.
  • Konfigurationen för Web Application Firewall (WAF) finns över hela plattformen.
  • Shopify erbjuder dataförlustprevention genom plattforms- och säkerhetsövervakning, till exempel preventions-/spårningssystem (IDS/IPS) i känsliga miljöer.
  • Shopify implementerar åtkomstkontroller baserat på roll som följer principen om minsta privilegium.
  • Vi bistår med årliga säkerhetsgranskningar genom att tillhandahålla våra oberoende revisionsrapporter, till exempel SOC 2 typ II.
  • Anställda får utbildning i informationssäkerhetsmedvetenhet och kontraktuella skyldigheter avseende konfidentialitet.

Se Säkerhet för mer information.

Är du redo att börja sälja med Shopify?

Prova gratis