Tính bảo mật của việc truyền dữ liệu cá nhân

Một yếu tố quan trọng khi đánh giá việc truyền dữ liệu quốc tế là phân tích các biện pháp kỹ thuật và tổ chức để giữ an toàn cho dữ liệu cá nhân. Tuân thủ Quy định bảo vệ dữ liệu chung (GDPR) và các điều luật hiện hành khác về bảo vệ dữ liệu, Shopify thực thi các biện pháp kỹ thuật và tổ chức toàn diện để đảm bảo dữ liệu cá nhân cho khách hàng của thương nhân được an toàn và bảo mật.

Trang này cung cấp tóm tắt về chương trình bảo mật của chúng tôi cũng như các thông tin thêm về Bảo mật.

Bảo mật vật lý

Shopify tận dụng môi trường lưu trữ ảo được duy trì tại các trung tâm dữ liệu có chứng nhận bảo mật tiêu chuẩn ngành. Trang web được bảo vệ vật lý bằng vành đai an ninh và các khu vực bảo mật nhiều tầng có báo động, giám sát bằng CCTV và nhân viên an ninh túc trực 24/7, nhận diện nhiều yếu tố, lồng cách ly và khóa vật lý. Ổ cứng không rời khỏi trung tâm dữ liệu mà sẽ bị tiêu hủy tại chỗ một cách an toàn. Máy chủ của chúng tôi được lưu trữ tại các trung tâm dữ liệu có các chứng nhận sau:

Cấu trúc

Nền tảng của Shopify dựa trên cấu trúc nhiều bên thuê, được tối ưu hóa về hiệu suất và khả năng thích ứng. Dữ liệu cá nhân của thương nhân được phân nhóm theo quyền kiểm soát cấp ứng dụng. Môi trường ứng dụng trên mỗi máy chủ (ứng dụng, quan hệ phụ thuộc và các tệp cấu hình của ứng dụng) sẽ được thay thế khi diễn ra thay đổi, trong đó loại bỏ vector dẫn đến các phần mềm độc hại tồn tại.

Ứng dụng

Việc duy trì bảo mật ứng dụng vô cùng quan trọng đối với quá trình phát triển của chúng tôi. Các nhà phát triển của chúng tôi được đào tạo thường xuyên về những phương thức tối ưu trong bảo mật ứng dụng và chúng tôi cũng giám sát để tìm lỗ hổng. Chủ cửa hàng cũng có thể thiết lập các tính năng bảo mật bổ sung. Ví dụ: Chủ sở hữu tài khoản có thể:

  • Kích hoạt xác thực nhiều yếu tố cho tài khoản của mình.
  • Xem nhật ký hoạt động, bao gồm hoạt động đăng nhập gần đây theo người dùng.
  • Đặt ra các cấp độ quyền truy cập dựa trên vai trò.
  • Thực thi các quyền chi tiết về phạm vi API.

Xác thực hai bước

Các tính năng như xác thực hai bước đóng vai trò như một lớp bảo mật bổ sung để gây khó khăn thêm cho những người truy cập trái phép vào tài khoản của thương nhân. Lớp bảo mật bổ sung này có thể làm giảm nguy cơ chiếm dụng tài sản.

Khi đăng nhập, bạn cần hoàn tất hai bước riêng biệt:

  1. Nhập địa chỉ và mật khẩu email của họ; Và
  2. Xác thực lượt đăng nhập bằng thiết bị di động hoặc khóa bảo mật.

Như vậy, ngay cả khi người khác biết được mật khẩu thì họ cũng không thể đăng nhập mà không qua được bước thứ hai.

Shopify cung cấp nhiều phương thức xác thực hai bước, bao gồm SMS, ứng dụng xác thực và khóa bảo mật.

Để biết thêm thông tin, tham khảo Bảo vệ tài khoản bằng xác thực hai bước.

Mã hóa

Thông tin truyền đi được mã hóa bằng các giao thức mật mã học tiêu chuẩn ngành này:

  • SSH
  • HTTPS-TLSv1.2

Shopify sử dụng giao thức HTTPS cho các trang thanh toán, cửa hàng và trang quản trị. Chi tiết thẻ tín dụng và các thông tin nhạy cảm khác trong các kho lưu trữ dữ liệu vận hành được mã hóa và duy trì. Tất cả mật khẩu người dùng được thêm salt và băm bằng thuật toán băm bcrypt khi lưu trữ.

Shopify sử dụng Bảo mật tầng giao vận (TLS), giao thức mã hóa dùng để bảo mật quá trình giao tiếp qua Internet, bảo vệ tất cả các kết nối đến trang quản trị và cửa hàng của thương nhân. Khi thanh địa chỉ của trình duyệt bên cạnh URL bắt đầu bằng https:// hiển thị biểu tượng ổ khóa, nghĩa là kết nối sử dụng TLS. TLS bảo vệ tất cả kết nối đến Shopify, bao gồm kết nối từ thương nhân và kết nối từ khách hàng của thương nhân. Shopify hỗ trợ phiên bản TLS 1.2 trở lên của giao thức TLS.

Chứng chỉ TLS mang đến cho cửa hàng của thương nhân những lợi ích sau:

  • Tăng cường bảo mật bằng cách mã hóa dữ liệu cá nhân của khách hàng.
  • Tạo dựng niềm tin cho khách hàng bằng cách hiển thị biểu tượng ổ khóa bên cạnh URL của cửa hàng trực tuyến.

Để biết thêm thông tin, tham khảo Bảo mật tầng giao vậnBật kết nối an toàn đến cửa hàng Shopify.

Tuân thủ PCI

Shopify được chứng nhận tuân thủ PCI DSS cấp 1. Hội đồng Tiêu chuẩn Bảo mật PCI là một tổ chức uy tín toàn cầu, chuyên về duy trì tiêu chuẩn trong việc xử lý an toàn giao dịch thẻ tín dụng. Thông tin này giúp các nhà cung cấp như thương nhân Shopify xử lý thanh toán qua thẻ tín dụng một cách an toàn và bảo vệ thông tin chủ thẻ.

Tại Shopify, chúng tôi nghiêm túc thực hiện lưu trữ cửa hàng an toàn và đã đầu tư lượng lớn thời gian và tiền bạc để đảm bảo giải pháp của chúng tôi tuân thủ PCI DSS. Từ đánh giá hằng năm nhằm đảm bảo tuân thủ đến không ngừng quản lý rủi ro, chúng tôi luôn cố gắng giữ an toàn cho giỏ hàng và dịch vụ thương mại điện tử.

Tất cả cửa hàng do Shopify cung cấp đều tuân thủ DSS PCI theo mặc định để thương nhân của chúng tôi có thể giữ an toàn cho thông tin thanh toán và dữ liệu kinh doanh.

Chúng tôi tuân thủ cả sáu tiêu chí của tiêu chuẩn PCI:

  • Duy trì mạng lưới bảo mật.
  • Bảo vệ dữ liệu chủ thẻ.
  • Duy trì chương trình quản lý lỗ hổng bảo mật.
  • Thực thi các biện pháp kiểm soát quyền truy cập gắt gao.
  • Thường xuyên theo dõi và kiểm tra mạng.
  • Duy trì chính sách bảo mật thông tin.

Tham khảo Sự tuân thủ PCI của Shopify để biết thêm thông tin.

Kiểm soát tổ chức dịch vụ (SOC)

Báo cáo Kiểm soát tổ chức dịch vụ (SOC) là các đánh giá về những hệ thống thông tin của công ty do kiểm toán viên bên thứ ba thực hiện, trong đó xác nhận rằng công ty đáp ứng một bộ tiêu chuẩn độc lập, bao gồm các tiêu chí liên quan đến tính bảo mật và trạng thái sẵn sàng của các dịch vụ.

Shopify đã nhận được các báo cáo sau về dịch vụ chúng tôi cung cấp cho khách hàng:

  • SOC 2, Loại II
  • SOC 3

Để biết thêm thông tin, tham khảo Báo cáo tuân thủ của chúng tôi. Bất cứ ai đăng nhập với tư cách thương nhân đều có thể tìm thấy báo cáo SOC 2 Type II tại đây.

Các tính năng bảo mật thiết yếu khác

Các biện pháp kiểm soát an ninh của Shopify bao gồm một số tính năng bảo mật thiết yếu như sau:

  • Hoạt động quét và kiểm tra lỗ hổng bên thứ ba được thực hiện thường xuyên để xác định và khắc phục những nhược điểm bảo mật tiềm ẩn.
  • Hiệu suất máy chủ và ứng dụng được đội ngũ kỹ thuật sản xuất của chúng tôi theo dõi liên tục.
  • Công cụ quản lý cấu hình của chúng tôi đảm bảo máy chủ áp dụng cấu hình hiện tại.
  • Shopify theo dõi các nguồn công bố lỗ hổng bảo mật và thông tin cập nhật về bảo mật hiện hành, đồng thời hành động nếu cần.
  • Thương nhân và nhà thầu bảo mật có thể tự kiểm tra tại cửa hàng của mình.
  • Thương nhân nên báo cáo những phát hiện về nền tảng với Chương trình HackerOne của chúng tôi.
  • Hệ thống của chúng tôi được thiết kế để khôi phục dữ liệu nhanh chóng trong trường hợp xảy ra khủng hoảng. Thử nghiệm khôi phục dữ liệu dự phòng diễn ra hằng ngày.
  • Shopify có nhiều mức độ lưu trữ để đảm bảo thương nhân có thể tiếp cận dữ liệu thương nhân và khách hàng có thể sử dụng cửa hàng của thương nhân.
  • Chúng tôi có quy trình ứng phó và giải quyết sự cố nghiêm chỉnh.
  • Thiết bị cho nhân viên được quản lý tập trung để thực thi và giới hạn các biện pháp bảo mật cho phù hợp với chính sách bảo mật của Shopify.
  • Cấu hình Tường lửa ứng dụng web (WAF) tồn tại trên toàn nền tảng.
  • Shopify cung cấp tính năng Ngăn ngừa mất dữ liệu thông qua việc giám sát nền tảng và tính bảo mật, ví dụ như hệ thống phòng chống/phát hiện xâm nhập (IDS/IPS) trong môi trường nhạy cảm.
  • Shopify thực thi các biện pháp kiểm soát quyền truy cập dựa trên vai trò theo nguyên tắc đặc quyền tối thiểu.
  • Chúng tôi hỗ trợ đánh giá bảo mật hằng năm bằng cách cung cấp báo cáo kiểm toán độc lập, ví dụ như SOC 2 Type II.
  • Nhân viên được đào tạo nhận thức về Bảo mật thông tin và nghĩa vụ bảo mật theo hợp đồng.

Để biết thêm thông tin, tham khảo Bảo mật.

Bạn đã sẵn sàng bán hàng với Shopify?

Dùng thử miễn phí