Inleiding - Trots op uw veiligheid
Wix.com Ltd is een toonaangevend cloudgebaseerd platform voor webontwikkeling met miljoenen gebruikers over de hele wereld. Wij zien beveiliging als een van onze hoogste prioriteiten en streven ernaar om beveiligingsprocessen en -praktijken van het hoogste niveau te implementeren bij alle bedrijfseenheden. Om ervoor te zorgen dat we dit doel bereiken en om de persoonsgegevens van onze gebruikers te beschermen hebben we ons veel moeite getroost ons platform veilig en beveiligd te maken.
Dit document geeft een overzicht van ons informatiebeveiligingsbeleid inzake een veilig en acceptabel gebruik van ons netwerk, onze infrastructuur en onze operationele diensten.
Deze whitepaper presenteert de benadering van Wix.com Ltd. inzake de beveiliging en compliance.
Compliance en certificeringen -
Uw gegevens veilig houden
PCI Level 1 handelaar & serviceprovider
De PCI DSS is de hoogste standaard van informatiebeveiliging voor organisaties die creditcardbetalingen accepteren. Deze standaard biedt bescherming van privacy en vertrouwelijkheid van de kaartgegevens die worden gebruikt om online transactie mee te voltooien.
ISO 27001
Wix.com Ltd. wordt ieder jaar gecontroleerd en gecertificeerd als ISO 27001-compatibel. De ISO 27001-certificering is een neerslag van de beste ervaringen in de branche van het beheer van beveiligingsrisico's.
ISO 27018
Wix.com Ltd. wordt ieder jaar gecontroleerd en gecertificeerd als ISO 27018-compatibel. De ISO 27018-certificering is een neerslag van de beste ervaringen in de branche voor het omgaan met persoonlijk identificeerbare informatie (PII) in een openbare cloud computing-omgeving.
AVG
De AVG (GDPR) is het raamwerk van de Europese Unie voor privacywetgeving, dat op 25 mei 2018 in werking is getreden. De AVG beschermt de rechten van individuen als het gaat om hun persoonsgegevens en wat bedrijven ermee kunnen doen.
We werken continu samen met een team van experts om naleving van de AVG (GDPR) te waarborgen en voeren de vereiste aanpassingen door in onze producten, diensten en documentatie. Hierdoor krijgen Wix-klanten meer controle over hun persoonsgegevens en krijgen ze de tools die nodig zijn om de informatie van bezoekers van Wix-sites te beschermen.
Ga voor meer informatie over hoe Wix.com Ltd. de gebruikersgegevens verwerkt en hoe u uw rechten uit kunt oefenen met betrekking tot uw persoonsgegevens naar: Wix.com Ltd. privacybeleid.
CCPA
De California Consumer Privacy Act (CCPA) is een staatswet inzake de privacy van gegevens die regelt hoe bedrijven over de hele wereld om dienen te gaan met de persoonlijke informatie (PI) van de inwoners van Californië.
Het staatsstatuut is bedoeld om de privacyrechten en consumentenbescherming te verbeteren door hen speciale rechten te verlenen, waaronder (maar niet beperkt tot) het "recht op toegang", het "recht op verwijdering" en het "recht om af te zien van verkoop van persoonlijke informatie".
Net als bij de AVG (GDPR) werken we met een team van experts ten einde de vereiste aanpassingen in onze producten, diensten en documentatie door te voeren om naleving van de CCPA te waarborgen.
Meerlaagse beveiliging - U het beste bieden
Bij Wix.com Ltd. gebruiken we meerlagige controles om onze infrastructuur te helpen beschermen waarbij we voortdurend onze applicaties, systemen en processen monitoren en verbeteren om te voldoen aan de groeiende eisen en uitdagingen op het gebied van beveiliging.
Beveiliging op applicatieniveau
Modellering van bedreigingen
Elke nieuwe functie die op het webcreatieplatform van Wix.com Ltd. wordt vrijgegeven ondergaat een grondige beveiligingsbeoordeling waarbij STRIDE wordt gebruikt als methode voor het modelleren van bedreigingen. Als onderdeel van onze methodologie voor softwareontwikkeling testen we elke functie om ervoor te zorgen dat deze voldoet aan strikte beveiligingsnormen en niet gevoelig is voor misbruik.
Penetratietesten
We hebben een eigen toegewijd beveiligingsonderzoeksteam voor het testen van de beveiligingsstatus van ons platform. Dagelijks wordt een externe PT door externe beveiligingsexperts uitgevoerd. Alle PT-bevindingen worden gerapporteerd aan onze R&D-teams en worden onmiddellijk gemitigeerd.
OWASP
Ons ontwikkelingsteam volgt de veilige coderingspraktijken van OWASP.
Encryptie
Wix.com Ltd. gebruikt beproefde encryptie-algoritmen en -protocollen om gegevens in transit of in rust te beveiligen.
Bug Bounty-programma - Probeer ons te hacken om ons beter te maken
Bij Wix.com Ltd. nodigen we freelance beveiligingsexperts uit om lid te worden van ons actieve HackerOne-account om te proberen ons systeem te hacken, zodat we ons systeem continu kunnen verbeteren en versterken. Dit premieprogramma betreft beveiligingsproblemen met een dynamisch bereik over variantdomeinen zoals:
-
XSS-aanval
-
CSRF-aanval
-
SQL-injectie-kwetsbaarheid
-
DNS-kaping
-
Sessie kwetsbaarheden
-
Onbeveiligde API's
-
Verificatie-spoofing
U kunt ons HackerOne-account vinden via deze link.
Hoogwaardige fysieke beveiliging
Onze productieomgeving voldoet aan de hoge industriële normen voor begeleiding en omgevings- en hostingcontroles.
Wix wordt gehost door cloudgebaseerde DC-providers: AWS en Google Cloud Platform. Equinix levert alle fysieke colocatiediensten. Deze infrastructuuraanbieders zijn houders van industriestandaarden in beveiligingscertificeringen, waaronder:
-
ISO 27001
-
ISO 27017
-
ISO 27018
-
SOC 1
-
SOC 2
-
SOC 3
-
PCI DSS Level 1
Voor meer informatie over de beveiligingscontroles van onze providers, kunt u hun betreffende websites bezoeken: AWS, GCP, Equinix.
Netwerkbeveiliging - Extra lagen van bescherming
-
TLS 1.2
Alle nieuwe sites die op Wix.com Ltd zijn gemaakt, hebben HTTPS automatisch ingeschakeld als onderdeel van de basisservices die Wix.com Ltd biedt. Alle kritische interfaces en functies, te weten gebruikersauthenticatie, betalingstransacties (PCI-gegevens) en PII-gerelateerde processen zijn alleen toegankelijk met de nieuwste versie van TLS. Wix.com Ltd ondersteunt officieel TLS met 1.2 als minimumversie.
-
Monitoring
Het SOC 24/7/365 monitoringprogramma van Wix.com Ltd. is gericht op informatie die is verzameld uit intern netwerkverkeer, acties van medewerkers op systemen en kennis van buitenaf omtrent de kwetsbaarheden. Analyse wordt uitgevoerd met behulp van een combinatie van open-source en commerciële tools voor het vastleggen en parseren van verkeer. Geautomatiseerde netwerkanalyse helpt om te kunnen bepalen wanneer er een onbekende dreiging bestaat en escaleert naar het beveiligingspersoneel van Wix.com Ltd., en netwerkanalyse wordt aangevuld met geautomatiseerde analyse van systeemlogboeken.
-
Kwetsbaarheidsscans
Vanwege de dynamische aard van het externe gedeelte van Wix.com Ltd., worden alle Wix.com Ltd. Cloud en openbare interfaces automatisch tweemaal per dag gescand op kwetsbaarheden en verkeerde configuraties.
Externe leveranciers
Your security, privacy and confidentiality are our top priority. That’s why Wix.com Ltd conducts a vetting process that includes assessment of the security practices for third-party vendors to validate it meets our security standards. Once we’ve assessed the risks, the supplier is required to enter into appropriate security, confidentiality, and privacy contract terms. When the vendor is approved, our security team will conduct an annual review if needed, to ensure its compliance with our standards.
Beheer van frauderisico's
Frauderisicobeheer maakt deel uit van de kernactiviteiten van het bedrijf dat als onderdeel van ons bedrijfsmodel professionele aandacht krijgt.
De activiteiten op zowel handelaarsniveau als transactieniveau worden blootgesteld aan verschillende soorten frauduleuze activiteiten, zoals online betalingsfraude en het aanmaken van nep-accounts.
Een transactie die niet door een klant is geautoriseerd wordt als frauduleus bestempeld. Een frauduleuze transactie kan resulteren in een terugvordering, als gevolg waarvan verkopers geld kunnen verliezen.
Het frauderisicobeheerproces van Wix.com Ltd. loopt vanaf de vroege preventiefase tot de fase van operationele kostenreductie, zowel op handelaarsniveau als op transactieniveau.
De beveiligings- en privacycultuur van Wix.com Ltd - Privacy by Design
Bewustwording en training van medewerkers
Alle medewerkers van Wix.com Ltd. krijgen een beveiligingstraining als onderdeel van het oriëntatieproces. Tijdens de oriëntatie verklaren de nieuwe medewerkers zich akkoord met onze Gedragscode die staat voor onze toewijding ten einde de klantinformatie veilig en beveiligd te houden. Afhankelijk van hun functie kan aanvullende training over specifieke aspecten van beveiliging benodigd zijn. Het informatiebeveiligingsteam instrueert bijvoorbeeld nieuwe technici over onderwerpen als veilige coderingspraktijken, productontwerp en geautomatiseerde tools voor het testen van kwetsbaarheden en meer.
Het beveiligingsteam communiceert regelmatig met alle medewerkers over onderwerpen als opkomende bedreigingen, bewustmakingscampagnes voor phishing en andere branchegerelateerde beveiligingsonderwerpen.
Ons toegewijde beveiligingsteam
Wix.com Ltd. heeft beveiligings- en privacyprofessionals in dienst die experts zijn op het gebied van informatie-, applicatie- en netwerkbeveiliging. Het team is belast met het onderhouden van de verdedigingssystemen van het bedrijf, het ontwikkelen van processen ter beoordeling van de beveiliging, het bouwen van een beveiligingsinfrastructuur en het implementeren van het beveiligingsbeleid van het bedrijf.
Ons toegewijde beveiligingsteam scant actief op beveiligingsbedreigingen, voert penetratietests, kwaliteitsborgingsmaatregelen (QA) en softwarebeveiligingsbeoordelingen uit.
Bij Wix.com Ltd. beoordelen deden van het informatiebeveiligingsteam beveiligingsplannen voor netwerken, systemen en diensten. Ze leveren specifieke adviesdiensten aan de product- en engineeringteams van Wix.com Ltd. Ze controleren op verdachte activiteiten op de netwerken van Wix.com Ltd., pakken informatiebeveiligingsbedreigingen aan, voeren routinematige beveiligingsevaluaties en -audits uit, en schakelen externe experts in om veiligheidsbeoordelingen uit te voeren.
Als u nog vragen heeft over beveiliging bij Wix.com Ltd., neem dan alstublieft contact met ons op middels: security-report@Wix.com.
Wix.com Ltd, ondersteunt meer dan 200 miljoen gebruikers en bedrijven met als hoogste prioriteit uw veiligheid, privacy en vertrouwen.