Giriş - Güvenliğiniz Önceliğimiz
Wix.com Ltd, dünya çapında milyonlarca kullanıcıya sahip, önde gelen, bulut temelli bir web sitesi geliştirme platformudur. Güvenlik, en yüksek önceliklerimizden biri. Tüm işletme birimlerimiz arasında en üst düzey güvenlik süreçlerini ve uygulamalarını sürdürmeye çalışıyoruz. Kullanıcılarımızın kişisel verilerini koruma şeklindeki bu hedefimize ulaştığımızdan emin olmak amacıyla, platformumuzun güvenli olduğunu kontrol etmek için büyük çabalar harcadık.
Bu belge, ağımız, altyapımız ve operasyonel hizmetlerimizin güvenli ve kabul edilebilir kullanımı için bilgi güvenlik politikalarımızın bir özetini içerir.
Bu rapor, Wix.com Ltd’nin güvenlik ve uyumluluğa yönelik yaklaşımını sunar.
Uyumluluk ve Sertifikasyonlar -
Verileriniz Bizimle Güvende
PCI 1. Düzey Satıcı ve Hizmet Sağlayıcısı
PCI DSS, kredi kartı ödemelerini kabul eden kurumlar için en yüksek bilgi güvenlik standardıdır. Bu standart, çevrim içi işlemi tamamlamak için kullanılan kartın verilerinin gizliliğinin korunmasını sağlar.
ISO 27001
Wix.com Ltd her yıl denetlenir ve ISO 27001 ile uyumludur. ISO 27001 sertifikası, güvenlik risklerinin kontrol edilmesine yönelik olarak endüstrideki en iyi uygulamaları özetler.
ISO 27018
Wix.com Ltd denetlenmiştir ve ISO 27018 ile uyumludur. ISO 27018 sertifikası, herkese açık ve bulut temelli bilgisayar ortamında Kişileri Tanımlayabilen Bilgilerin (PII) işlenmesine yönelik endüstri içindeki en iyi uygulamaları özetler.
GDPR
GDPR (Genel Veri Koruma Yönetmeliği), Avrupa Birliği’nin 25 Mayıs 2018 tarihinde yürürlüğe giren gizlilik yasalarının çerçevesini oluşturur. GDPR, kişisel verileri ve şirketlerin bu verilerle yapabilecekleri konusunda bireylerin haklarını korur.
GDPR uyumluluğunu sağlamak üzere uzmanlardan oluşan bir ekiple sürekli çalışmalar içerisindeyiz ve ürünlerimiz, hizmetlerimiz ve belgelerimize yönelik gerekli ayarlamaları gerçekleştirmiş bulunuyoruz. Böylece, Wix müşterileri kişisel verilerine yönelik daha fazla denetim elde eder ve Wix sitelerine gelen ziyaretçilerin bilgilerini korumak için gereken araçlara sahip olur.
Wix.com Ltd’nin kullanıcı verilerini işleme şekli ve kişisel bilgiler ile ilgili hakların nasıl kullanılacağı hakkında daha fazla bilgi almak için lütfen Wix.com Ltd gizlilik politikasını okuyun.
CCPA
Kaliforniya Tüketici Gizlilik Yasası (CCPA), dünya çapında işletmelerin Kaliforniya’da ikamet eden kişilerin kişisel bilgilerini (PI) nasıl işleyebildiklerini düzenleyen eyalet çapında geçerli bir gizlilik yasasıdır.
Bu eyalet yasası “kişisel bilgilere erişim hakkı”, “kişisel bilgileri silme hakkı” ve “kişisel bilgilerin satışını reddetme hakkı” gibi hakları içeren (ancak bunlarla sınırlı olmayan) özel haklar sunarak gizlilik hakkı ve tüketici korumasını geliştirmeyi amaçlar.
GDPR’a benzer olarak, CCPA uyumluluğunu sağlamak üzere uzmanlardan oluşan bir ekiple sürekli çalışmalar içerisindeyiz ve ürünlerimiz, hizmetlerimiz ve belgelerimize yönelik gerekli ayarlamaları gerçekleştirmiş bulunuyoruz.
Çok Katmanlı Güvenlik -
Sizin İçin En İyisini Sağlıyoruz
Wix.com Ltd’de, altyapımızı korumak için çok katmanlı denetimlerden yararlanıyor, artan güvenlik talepleri ve güçlüklerine yanıt vermek üzere uygulamalarımızı, sistemlerimizi ve süreçlerimizi sürekli denetliyor ve geliştiriyoruz.
Uygulama Düzeyinde Güvenlik
Tehdit Modelleme
Wix.com Ltd’nin web sitesi oluşturma platformunda çıkarılan her yeni özellik, STRIDE adlı tehdit modelleme yöntemimizin kullanımıyla çok dikkatli bir güvenlik incelemesinden geçer. Yazılım geliştirme metodolojimizin bir parçası olarak her özelliği katı güvenlik standartlarına uyduğundan ve kötü kullanıma açık olmadığından emin olmak için test ediyoruz.
Penetrasyon Testleri
Platformumuzun güvenlik durumunu kontrol etmek üzere düzenli olarak bu amaca yönelik güvenlik araştırma ekibimizden yararlanıyoruz. Harici güvenlik uzmanlarınca gerçekleştirilen harici penetrasyon testleri, günlük olarak gerçekleştirilmektedir. Tüm penetrasyon testi bulguları, Ar-Ge ekiplerimize raporlanmakta ve gerekli önlemler derhal alınmaktadır.
OWASP
Yazılım ekibimiz, OWASP güvenli kod yazma uygulamalarına uygun olarak çalışır.
Şifreleme
Wix.com Ltd, aktarım halindeki ya da sabit durumdaki verilerin güvenliğini sağlamak için işlevi kanıtlanmış şifreleme algoritmaları ve protokollerden yararlanmaktadır.
Ödüllü Yazılım Hatası Bulma Programı - Gelişmemiz İçin Bizi Hacklemeyi Deneyin
Wix.com Ltd olarak, sistemimizi sürekli geliştirip güçlendirmek için serbest çalışan güvenlik uzmanlarını HackerOne hesabımıza katılarak sistemimizi hacklemeyi denemeye davet ediyoruz. Hata bulma programımız, aşağıdakiler gibi farklı alanlara yönelik dinamik kapsamlı hassas güvenlik noktalarını içerir:
-
XSS saldırıları
-
CSRF saldırıları
-
SQL saldırısı hassasiyetleri
-
DNS korsanlığı
-
Oturum hassasiyetleri
-
Güvensiz API
-
Sahte doğrulama
HackerOne hesabımıza buradan ulaşabilirsiniz.
Üst Düzey Fiziki Güvenlik
Üretim ortamımız fiziki, çevresel ve hosting denetimlerine yönelik en yüksek endüstri standartlarıyla uyumludur.
Wix, bulut temelli DC sağlayıcılarının hosting hizmetinden yararlanır. Bunlar: AWS ve Google Cloud Platformudur. Equinix, tüm fiziksel yerleşim hizmetlerini sağlar. Bu altyapı sağlayıcıları, aşağıdakiler dahil endüstri standardı güvenlik sertifikalarının sürdürülmesini sağlar:
-
ISO 27001
-
ISO 27017
-
ISO 27018
-
SOC 1
-
SOC 2
-
SOC 3
-
PCI DSS Level 1
Sağlayıcılarımızın güvenlik denetimleri hakkında daha fazla bilgi almak için sitelerini ziyaret edebilirsiniz: AWS, GCP, Equinix.
Ağ Güvenliği - Ek Koruma Katmanları
-
TLS 1.2
Wix.com Ltd üzerinden oluşturulan tüm yeni sitelerde, Wix.com Ltd’nin sağladığı temel hizmetlerin parçası olarak HTTPS otomatik olarak etkinleştirilmiştir. Kullanıcı doğrulama, ödeme işlemleri (PCI verileri) ve PII ile ilgili süreçler gibi tüm önemli arayüzler ve işlevlere, yalnızca TLS’in en son sürümü kullanılarak erişilebilir. Wix.com Ltd, minimum 1.2 sürümlü TLS’i resmi olarak desteklemektedir.
-
Denetim
Wix.com Ltd’nin yıl boyu 7/24 çalışan SOC denetim programı, dahili ağ trafiğinden elde edilen bilgilere, çalışanların sistemdeki etkinliklerine ve hassasiyetler hakkındaki harici bilgilere odaklanır. Analizler, trafik yakalama ve incelemeye yönelik açık kaynaklı ve ticari araçların kombinasyonu ile gerçekleştirilir. Otomatik ağ analizi, bilinmeyen bir tehdidin ne zaman ortaya çıkabileceğini kararlaştırmaya yardımcı olur ve durumu Wix.com Ltd’nin güvenlik personeline iletir. Ağ analizi ise, sistem günlüklerinin otomatik analizi ile desteklenir.
-
Hassasiyet Taramaları
Wix.com Ltd’nin harici yüzeyinin dinamik doğası nedeniyle Wix.com Ltd'nin tüm bulut temelli ve herkese açık arayüzleri, hassasiyet ve yanlış yapılandırmalara karşı günde iki kez taranmaktadır.
Üçüncü Taraf Tedarikçiler
Güvenliğiniz ve gizliliğiniz bizim en büyük önceliğimiz. Bu nedenle, Wix.com Ltd, güvenlik standartlarımıza uygunluğunu doğrulamak için üçüncü taraf satıcıların güvenlik uygulamalarının değerlendirilmesini içeren bir güvenlik incelemesi süreci gerçekleştirir. Risk değerlendirmesini tamamladığımızda, tedarikçinin uygun güvenlik ve gizlilik sözleşme şartlarını kabul etmesi istenir. Satıcı onaylandığında, güvenlik ekibimiz satıcının standartlarımıza uygunluğundan emin olmak amacıyla gerekmesi halinde yıllık bir inceleme gerçekleştirir.
Dolandırıcılık Riski Yönetimi
Dolandırıcılık riski yönetimi, işletme modelimizin bir parçası olarak özellikle özen gösterdiğimiz ve profesyonel olarak gerçekleştirdiğimiz çekirdek etkinliklerin bir parçasıdır.
Hem satıcı düzeyindeki hem de işlemsel düzeydeki etkinlik, çevrim içi ödeme dolandırıcılığı ve sahte hesapların oluşturulması gibi farklı türlerden hileli etkinliklere açıktır. Müşteri tarafından onaylanmayan bir işlem hileli olarak tanımlanır. Hileli bir işlem, ters ibraz ile sonuçlanabilir ve satıcıların para kaybetmesine neden olabilir.
Wix.com Ltd’nin dolandırıcılık risk yönetim süreci, erken önleme aşamasından hem satıcı düzeyinde hem de işlem düzeyindeki operasyonel maliyet azaltma aşamasına kadar devam eder.
Wix.com Ltd’nin Güvenlik ve Gizlilik Kültürü - Tasarımla Desteklenen Gizlilik
Çalışanların Farkındalığı ve Eğitimi
Tüm Wix.com Ltd çalışanları, oryantasyon sürecinin bir parçası olarak güvenlik eğitiminden geçer. Oryantasyon sırasında yeni çalışanlarımız, müşteri bilgilerinin güvenli kalmasını sağlamaya olan taahhüdümüzü vurgulayan davranış kurallarımızı kabul eder. Profesyonel rollerine göre, güvenliğin belirli özellikleri hakkında ek eğitimler gerekli olabilir. Örneğin, bilgi güvenlik ekibi, yeni mühendislere güvenli kod yazma uygulamaları, ürün tasarımı ve otomatik hassasiyet testi araçları ve daha fazlası gibi konularda eğitim verir.
Güvenlik ekibi, tüm çalışanlarla düzenli olarak iletişimi sürdürür ve yükselen tehditler, kimlik hırsızlığı farkındalık kampanyaları ve endüstri ile ilgili diğer güvenlik konuları gibi konuları ele alır.
Özel Güvenlik Ekibimiz
Wix.com Ltd, bilgi, uygulama ve ağ güvenliği konusunda uzman olan güvenlik ve gizlilik profesyonelleri ile çalışır. Ekibin görevi, şirketin savunma sistemlerini sürdürmek, güvenlik inceleme süreçleri geliştirmek, güvenlik altyapısı kurmak ve şirketin güvenlik politikalarını uygulamak şeklindedir.
Özel güvenlik ekibimiz, güvenlik tehditlerini aktif bir şekilde tarar, penetrasyon testleri gerçekleştirir, kalite kontrolü ve yazılım güvenlik incelemeleri yapar.
Wix.com Ltd dahilinde, bilgi güvenlik ekibinin üyeleri, ağlar, sistemler ve hizmetlere yönelik güvenlik planlarını inceler. Wix.com Ltd’nin ürün ve mühendislik ekiplerine projelere özel danışmanlık hizmetleri sağlar. Wix.com Ltd’nin ağlarında şüpheli etkinlikleri denetler, bilgi güvenliği tehditlerini ele alır, rutin güvenlik değerlendirmeleri ve denetimleri gerçekleştirir ve diğer yandan da güvenlik değerlendirmeleri yapmak üzere harici uzmanlardan destek alır.
Wix.com Ltd'deki güvenlikle ilgili başka sorularınız varsa lütfen security-report@Wix.com adresinden bizimle iletişime geçin.
Wix.com Ltd’yi kullanan 200 milyonu aşkın kullanıcı ve şirket var. En büyük önceliğimiz, güvenliğiniz ve gizliliğiniz.