Introduzione - La vostra sicurezza è il nostro orgoglio
Wix.com Ltd è una piattaforma di sviluppo web basata sul cloud con milioni di utenti in tutto il mondo. La sicurezza è una delle nostre priorità principali e ci impegniamo a mettere in atto i procedimenti e le pratiche di sicurezza di livello più alto possibile in tutti i rami dell’azienda. Per poter raggiungere l’obiettivo di proteggere i dati personali dei nostri clienti, abbiamo dedicato molti sforzi ad assicurarci che la nostra piattaforma sia un luogo sicuro.
Il presente documento contiene una panoramica dettagliata delle nostre politiche di sicurezza informatica per un utilizzo sicuro e accettabile della nostra rete, della nostra infrastruttura e dei servizi operativi che offriamo.
Il presente white paper riporta l’approccio di Wix.com Ltd alla sicurezza e alla conformità.
Conformità e certificazioni - Per tenere al sicuro i dati
PCI Livello 1 Commerciante & Fornitore di servizi
Il PCI DSS è il più elevato standard di sicurezza informatica per le organizzazioni che accettano pagamenti con carta di credito. Questo standard garantisce la tutela della privacy e della riservatezza dei dati della carta usata per completare la transazione online.
ISO 27001
Wix.com Ltd è sottoposta ad audit annuali e certificata come conforme a ISO 27001. La certificazione ISO 27001 delinea le buone pratiche del settore per la gestione dei rischi di sicurezza.
ISO 27018
Wix.com Ltd è stata sottoposta ad audit e certificata come conforme a ISO 27018. La certificazione ISO 27018 delinea le buone pratiche del settore per la gestione di informazioni di identificazione personale (PII) in un ambiente pubblico di cloud-computing.
GDPR
Il GDPR è il quadro di riferimento per le leggi sulla privacy dell’Unione Europea ed è entrato in vigore il 25 maggio 2018. Il GDPR tutela i diritti delle persone fisiche relativamente ai loro dati personali e all’utilizzo che le aziende ne possono fare.
Lavoriamo costantemente con un team di esperti e abbiamo attuato le modifiche richieste ai nostri prodotti, servizi e documentazioni per garantirne la conformità con il GDPR. Questo mette i clienti di Wix nella posizione di avere maggiore controllo sui propri dati personali e di ottenere gli strumenti necessari per tutelare i dati dei visitatori sui siti Wix.
Per maggiori informazioni su come Wix.com Ltd tratta i dati degli utenti e su come esercitare i propri diritti relativi ai dati personali, si veda l’informativa sulla privacy di Wix.com Ltd.
CCPA
Il California Consumer Privacy Act (CCPA) è una legge sulla privacy dei dati a livello statale che regolamenta il modo in cui le aziende di tutto il mondo sono autorizzate a gestire i dati personali dei residenti in California.
Questa normativa statale mira a migliorare i diritti in materia di privacy e la tutela dei consumatori fornendo loro diritti speciali, ivi inclusi (a titolo non esclusivo) il “diritto di accesso”, il “diritto alla cancellazione” e il “diritto di opporsi alla vendita dei propri dati personali”.
In maniera analoga al GDPR, abbiamo lavorato con un team di esperti e abbiamo attuato le modifiche richieste ai nostri prodotti, servizi e documentazioni per garantirne la conformità con il CCPA.
Sicurezza a livello di applicazione - Per offrire il meglio
Wix.com Ltd utilizza controlli a più livelli per proteggere la nostra infrastruttura, monitorando e migliorando costantemente le nostre applicazioni, i sistemi e i processi così da rispondere alle esigenze e alle sfide crescenti in materia di sicurezza.
Sicurezza a livello di applicazione
Threat Modeling
Ogni nuova funzionalità lanciata sulla piattaforma di creazione web di Wix.com Ltd è sottoposta a una valutazione della sicurezza e a uno scrutinio severo, utilizzando STRIDE come metodo di threat modeling. All’interno della nostra metodologia di sviluppo dei software, testiamo ogni funzionalità per assicurarci che riesca a mantenere standard elevati di sicurezza e che non sia vulnerabile agli abusi.
Penetration Test
Disponiamo di un team di ricerca sulla sicurezza dedicato, per mettere alla prova le condizioni di sicurezza della nostra piattaforma con cadenza regolare. Penetration Test esterni sono svolti con cadenza giornaliera da esperti di sicurezza esterni. I risultati dei test sono riferiti ai nostri team di Sviluppo e Ricerca che provvedono a rimediare subito a eventuali falle.
OWASP
Il nostro team di sviluppo segue le pratiche di coding sicuro OWASP.
Crittografia
Wix.com Ltd utilizza algoritmi e protocolli di crittografia ben collaudati per mettere in sicurezza i dati in transito o i dati statici.
Bug Bounty Program - Prova ad hackerarci e aiutaci a migliorare
Wix.com Ltd invita esperti di sicurezza freelance a iscriversi al nostro account HackerOne attivo e a cercare di hackerare il nostro sistema, per poterlo costantemente migliorare e rinforzare. Il nostro programma bug bounty copre le vulnerabilità di sicurezza con un ambito dinamico nelle seguenti aree:
-
attacco XSS
-
attacco CSRF
-
vulnerabilità SQL injection
-
DNS hijacking
-
vulnerabilità di sessione
-
API non protetto
-
spoofing di autenticazione
È possibile visitare il nostro account HackerOne qui.
Sicurezza fisica di alto livello
Il nostro ambiente di produzione è conforme ai più elevati standard del settore per i controlli fisici, ambientali e di hosting.
Wix è ospitato da provider DC cloud-based: AWS e Google Cloud Platform. Equinix fornisce tutti i servizi di housing fisico. Questi fornitori di infrastrutture dispongono di certificazioni di sicurezza che rispondono agli standard del settore, tra le quali:
-
ISO 27001
-
ISO 27017
-
ISO 27018
-
SOC 1
-
SOC 2
-
SOC 3
-
PCI DSS Livello 1
Per saperne di più sui controlli di sicurezza dei nostri fornitori, è possibile visitare i loro siti web: AWS, GCP, Equinix.
Sicurezza di rete - Livelli aggiuntivi di protezione
-
TLS 1.2
Tutti i nuovi siti creati su Wix.com Ltd hanno l’HTTPS abilitato in automatico come parte dei servizi di base offerti da Wix.com Ltd. Tutte le interfacce e le funzionalità critiche, ad es. l’autenticazione degli utenti, le transazioni di pagamento (dati PCI) e i procedimenti relativi alle PII sono accessibili soltanto usando la versione più recente di TLS. Wix.com Ltd supporta ufficialmente TLS con 1.2 come versione minima.
-
Monitoraggio
Il programma di monitoraggio SOC 24/7/365 di Wix.com Ltd è incentrato sui dati raccolti dal traffico di rete interno, le azioni dei dipendenti sui sistemi e la conoscenza delle vulnerabilità verso l’esterno. L’analisi è svolta utilizzando una combinazione di strumenti open-source e commerciali per l’acquisizione e l’analisi del traffico. L’analisi di rete automatizzata aiuta a individuare la possibile esistenza di una minaccia sconosciuta e a comunicarla allo staff di sicurezza di Wix.com Ltd; l’analisi di rete è integrata dall’analisi automatizzata dei registri di sistema.
-
Scansioni di vulnerabilità
A causa della natura dinamica della superficie esterna di Wix.com Ltd, tutte le interfacce cloud e pubbliche di Wix.com Ltd sono scansionate automaticamente due volte al giorno per rilevare vulnerabilità ed errori di configurazione.
Fornitori terzi
Sicurezza, privacy e riservatezza dei nostri clienti sono la nostra massima priorità. Per questo, Wix.com Ltd svolge nei confronti di fornitori terzi un processo di controllo che include la valutazione delle loro pratiche di sicurezza, per verificare che rispondano ai nostri standard di sicurezza. Una volta valutato il rischio, ai fornitori di terze parti è richiesta la sottoscrizione di condizioni contrattuali relative alla sicurezza, alla riservatezza e alla privacy. Dopo l’approvazione del fornitore, il nostro team di sicurezza svolgerà un controllo annuale, se necessario, per verificare la conformità del fornitore con i nostri standard.
Gestione dei rischi di frode
La gestione dei rischi di frode fa parte delle attività chiave dell’azienda e a essa sono dedicate ampia attenzione e professionalità all’interno del nostro modello di business.
Le attività a livello sia commerciale che transazionale sono esposte ad attività fraudolente di vario tipo, come le frodi sui pagamenti online e la creazione di account fasulli.
Una transazione non autorizzata dal cliente è detta “fraudolenta”. Una transazione fraudolenta può dare luogo a uno storno e causare una perdita economica per il commerciante.
Il processo di gestione dei rischi di frode di Wix.com Ltd va da una fase preventiva iniziale alla fase operativa di riduzione dei costi, a livello sia commerciale che transazionale.
La cultura della sicurezza e della privacy di Wix.com Ltd - Privacy di design
Sensibilizzazione e formazione dei dipendenti
Tutti i dipendenti di Wix.com Ltd si sottopongono a una formazione di sicurezza all’interno del processo di orientamento. Durante l’orientamento, i nuovi dipendenti accettano il nostro Codice di Condotta che mette in risalto il nostro impegno verso la sicurezza e la salvaguardia dei dati dei clienti. A seconda della posizione lavorativa, ai dipendenti potrebbe essere richiesto di sottoporsi a formazioni aggiuntive su alcuni aspetti specifici della sicurezza. Ad esempio, il team di sicurezza informatica istruisce i nuovi ingegneri su tematiche come le pratiche di coding sicuro, il design dei prodotti, gli strumenti per i test automatici di vulnerabilità e molto altro.
Il team di sicurezza comunica regolarmente con tutti i dipendenti, trattando temi come l’insorgere di minacce, le campagne di sensibilizzazione sul phishing, e altre tematiche di sicurezza relative al settore.
Il nostro team di sicurezza dedicato
Wix.com Ltd impiega professionisti della sicurezza e della privacy che sono esperti nella sicurezza informatica, delle applicazioni e di rete. Questo team ha l’incarico di mantenere i sistemi di difesa dell’azienda, sviluppando processi per i controlli di sicurezza, costruendo le infrastrutture di sicurezza e mettendo in atto le politiche di sicurezza dell’azienda.
Il nostro team di sicurezza dedicato esegue attivamente scansioni per individuare minacce di sicurezza, effettua penetration test, attua misure di controllo qualità e controlli sulla sicurezza dei software.
All’interno di Wix.com Ltd, i membri del team di sicurezza informatica esaminano i piani di sicurezza per le reti, i sistemi e i servizi. Forniscono ai team di Wix.com Ltd che si occupano del prodotto e di ingegneria servizi di consulenza relativi a specifici progetti. Monitorano le reti di Wix.com Ltd per individuare eventuali attività sospette, gestiscono le minacce di sicurezza informatica, eseguono accertamenti e audit di sicurezza di routine, e al contempo si rivolgono a esperti esterni per condurre valutazioni di sicurezza.
Per ogni altra domanda relativa alla sicurezza di Wix.com Ltd, contattaci all’indirizzo: security-report@Wix.com.
Wix.com Ltd è al servizio di oltre 200 milioni di utenti e aziende e la nostra massima priorità è la loro sicurezza, privacy e riservatezza.