Protégez-vous avec une sécurité de niveau professionnel

Découvrez comment Wix.com Ltd protège vos données dans notre livre blanc sur la sécurité.

 

Introduction - Votre sécurité est notre priorité

 

Wix.com Ltd est une plateforme de développement web basée sur le cloud, qui compte des millions d'utilisateurs dans le monde. La sécurité est l'une de nos plus grandes priorités et nous nous efforçons de mettre en œuvre des processus et des pratiques de sécurité les plus strictes dans toutes les unités commerciales. Pour nous aider à atteindre cet objectif de protection des données personnelles de nos utilisateurs, nous avons investi beaucoup d'efforts pour nous assurer que notre plateforme est sûre et sécurisée.

Ce document donne un aperçu de nos politiques de sécurité de l'information pour une utilisation sûre et acceptable de notre réseau, de notre infrastructure et de nos services opérationnels.

Ce livre blanc présente l'approche de Wix.com Ltd en matière de sécurité et de conformité.

 

Conformité et certifications - Assurer la sécurité de vos données

PCI
ISO 27001
ISO 2708
CCPAS
GDPR

Marchand et fournisseur de services de niveau 1 PCI

La norme PCI DSS est la norme de sécurité de l'information la plus élevée pour les organisations qui acceptent les paiements par carte de crédit. Cette norme assure la protection de la vie privée et la confidentialité des données de la carte utilisées pour effectuer la transaction en ligne.

ISO 27001

Wix.com Ltd fait l'objet d'un audit annuel et est certifié conforme à la norme ISO 27001. La certification ISO 27001 décrit les meilleures pratiques du secteur en matière de gestion des risques de sécurité.

ISO 27018

Wix.com Ltd a été audité et certifié conforme à la norme ISO 27018. La certification ISO 27018 décrit les meilleures pratiques du secteur en matière de traitement des informations personnelles identifiables (PII) dans un environnement de cloud-computing publique.

RGPD

Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne et est entré en vigueur le 25 mai 2018. Le RGPD protège les droits des individus en ce qui concerne leurs données personnelles et ce que les entreprises peuvent en faire.

Nous travaillons en permanence avec une équipe d'experts et avons mis en œuvre les ajustements nécessaires à nos produits, services et documentation, afin de garantir la conformité avec le RGPD. Cela permet aux clients de Wix de contrôler davantage leurs données personnelles et de bénéficier des outils nécessaires pour protéger les informations des visiteurs des sites Wix.

Pour plus d'informations sur la manière dont Wix.com Ltd traite les données des utilisateurs et sur la manière d'exercer ses droits en matière d'informations personnelles, veuillez consulter la politique de confidentialité de Wix.com Ltd.

CCPA

La loi californienne sur la protection de la vie privée des consommateurs (CCPA) est une loi sur la confidentialité des données applicable à l'ensemble de l'État qui régit la manière dont les entreprises du monde entier sont autorisées à traiter les informations personnelles (IP) des résidents californiens.

La loi de l’État vise à renforcer les droits en matière de vie privée et de protection du consommateurs en leur fournissant des droits spécifiques, comprenant sans s’y limiter le « droit d’accès », « le droit de suppression » et le « droit de retrait d’une vente d’informations personnelles ».

Comme pour le RGPD, nous avons travaillé avec une équipe d'experts et avons mis en œuvre les ajustements nécessaires à nos produits, services et documentation, afin de garantir la conformité avec la CCPA.

 

Sécurité multicouche -

Vous offrir ce qu'il y a de mieux

 

Chez Wix.com Ltd, nous utilisons des contrôles multicouches pour aider à protéger notre infrastructure, en surveillant et en améliorant constamment nos applications, nos systèmes et nos processus pour répondre aux demandes et aux défis croissants en matière de sécurité.

Sécurité au niveau de l'application
 

Modélisation des menaces

Chaque nouvelle fonctionnalité publiée sur la plateforme de création de sites Web Wix.com Ltd fait l'objet d'un examen de sécurité minutieux, en utilisant STRIDE comme méthode de modélisation des menaces. Dans le cadre de notre méthodologie de développement de logiciels, nous testons chaque fonctionnalité pour nous assurer qu'elle respecte des normes de sécurité strictes et qu'elle n'est pas vulnérable aux abus.

Tests de pénétration

Nous employons notre propre équipe de recherche sur la sécurité pour tester régulièrement la sécurité de notre plateforme. Un test de pénétration externe, effectué par des experts en sécurité externes, est réalisé quotidiennement. Tous les résultats des tests de pénétration sont communiqués à nos équipes de recherche et développement et font l'objet de mesures correctives rapides.

OWASP 

Notre équipe de développement suit les pratiques de codage sécurisé de l'OWASP.

Cryptage

Wix.com Ltd utilise des algorithmes et des protocoles de cryptage éprouvés pour sécuriser les données en transit ou les données au repos.

Programme de primes aux bugs - Essayez de nous pirater pour nous améliorer

Chez Wix.com Ltd, nous invitons les experts en sécurité indépendants à rejoindre notre compte HackerOne actif pour essayer de pirater notre système afin que nous puissions constamment l'améliorer et le renforcer. Notre programme de primes couvre les vulnérabilités de sécurité avec une portée dynamique sur des domaines variés tels que :

  • Attaque XSS

  • Attaque CSRF

  • Vulnérabilité à l'injection SQL

  • Détournement de DNS

  • Vulnérabilité de la session

  • API non garantie

  • Usurpation d'authentification

Vous pouvez consulter notre compte HackerOne ici.



 

Sécurité physique haut de gamme

Notre environnement de production est conforme aux normes les plus strictes du secteur en matière de contrôles physiques, environnementaux et d'hébergement.

Wix est hébergé par des fournisseurs de Data Center (Centre de données) basés sur le cloud : AWS et Google Cloud Platform. Equinix fournit tous les services de colocation physique. Ces fournisseurs d'infrastructure maintiennent des certifications de sécurité conformes aux normes du secteur, notamment :

  • ISO 27001 

  • ISO 27017 

  • ISO 27018 

  • SOC 1

  • SOC 2

  • SOC 3 

  • PCI DSS niveau 1
     

Pour en savoir plus sur les contrôles de sécurité de nos fournisseurs, vous pouvez consulter leurs sites web : AWS, GCP, Equinix.

Sécurité des réseaux - Couches de protection supplémentaires

  • TLS 1.2

Tous les nouveaux sites créés sur Wix.com Ltd ont le HTTPS automatiquement activé dans le cadre des services de base fournis par Wix.com Ltd. Toutes les interfaces et fonctions critiques, c'est-à-dire l'authentification des utilisateurs, les transactions de paiement (données PCI) et les processus liés aux DPI, ne sont accessibles qu'en utilisant la dernière version de TLS. Wix.com Ltd supporte officiellement TLS avec la version 1.2 comme version minimale.

  • Surveillance

Le programme de surveillance SOC 24/7/365 de Wix.com Ltd est axé sur les informations recueillies à partir du trafic du réseau interne, des actions des employés sur les systèmes et de la connaissance extérieure des vulnérabilités. L'analyse est effectuée à l'aide d'une combinaison d'outils commerciaux et open-source pour la capture et l'analyse du trafic. L'analyse automatisée du réseau permet de déterminer quand une menace inconnue peut exister et d'en référer au personnel de sécurité de Wix.com Ltd. L'analyse du réseau est complétée par une analyse automatisée des journaux du système.

  • Analyses de vulnérabilité

En raison de la nature dynamique de la surface externe de Wix.com Ltd, toutes les interfaces publiques et Cloud de Wix.com Ltd sont automatiquement scannées deux fois par jour pour détecter les vulnérabilités et les mauvaises configurations. misconfigurations.

 

Fournisseurs tiers

 

Votre sécurité, votre vie privée et votre confidentialité sont notre priorité absolue. C'est pourquoi Wix.com Ltd mène un processus de vérification qui comprend l'évaluation des pratiques de sécurité des fournisseurs tiers afin de valider leur conformité à nos normes de sécurité. Une fois que nous avons évalué les risques, le fournisseur est dans l'obligation de conclure des contrats appropriés en matière de sécurité, de confidentialité et de respect de la vie privée. Une fois le fournisseur approuvé, notre équipe de sécurité procédera à une révision annuelle, si nécessaire, pour s'assurer de sa conformité à nos normes.

 

Gestion du risque de fraude

 

La gestion du risque de fraude fait partie des activités principales de l'entreprise et bénéficie d'une attention professionnelle dédiée dans le cadre de notre modèle d'entreprise.

L'activité, tant au niveau du commerçant qu'au niveau de la transaction, est exposée à des activités frauduleuses de différents types, telles que la fraude au paiement en ligne et la création de faux comptes.

Une transaction qui n'est pas autorisée par un client est qualifiée de frauduleuse. Une transaction frauduleuse peut entraîner une rétrofacturation, ce qui peut faire perdre de l'argent aux commerçants.

Le processus de gestion du risque de fraude de Wix.com Ltd commence dès la phase de prévention précoce jusqu'à la phase de réduction des coûts opérationnels, tant au niveau du commerçant que des transactions.

 

La culture de Wix.com Ltd en matière de sécurité et de confidentialité - Privacy by Design (confidentialité dès la conception)

Sensibilisation et formation des employés

Tous les employés de Wix.com Ltd suivent une formation à la sécurité dans le cadre du processus d'orientation. Au cours de l'orientation, les nouveaux employés acceptent notre code de conduite, qui souligne notre engagement à assurer la sécurité des informations relatives aux clients. Selon leur fonction, une formation supplémentaire sur des aspects spécifiques de la sécurité peut être requise. Par exemple, l'équipe chargée de la sécurité des informations forme les nouveaux ingénieurs sur des sujets tels que les pratiques de codage sécurisé, la conception de produits et les outils de test de vulnérabilité automatisés, etc.

L'équipe de sécurité communique régulièrement avec tous les employés, en abordant des sujets tels que les menaces émergentes, les campagnes de sensibilisation au hameçonnage et d'autres sujets de sécurité liés au secteur.

 

Notre équipe de sécurité spécialisée

Wix.com Ltd emploie des professionnels de la sécurité et de la confidentialité qui sont des experts en matière de sécurité des informations, des applications et des réseaux. L'équipe est chargée de maintenir les systèmes de défense de l'entreprise, de développer des processus d'examen de la sécurité, de construire l'infrastructure de sécurité et de mettre en œuvre les politiques de sécurité de l'entreprise.

Notre équipe de sécurité spécialisée recherche activement les menaces pour la sécurité, effectue des tests de pénétration, prend des mesures d'assurance qualité (AQ) et procède à des examens de la sécurité des logiciels.

Au sein de Wix.com Ltd, les membres de l'équipe de sécurité de l'information examinent les plans de sécurité des réseaux, des systèmes et des services. Ils fournissent des services de conseil spécifiques aux projets aux équipes de produits et d'ingénierie de Wix.com Ltd. Ils surveillent les activités suspectes sur les réseaux de Wix.com Ltd, traitent les menaces à la sécurité des informations, effectuent des évaluations et des audits de sécurité de routine, tout en faisant appel à des experts extérieurs pour effectuer des évaluations de sécurité.

Si vous avez d'autres questions concernant la sécurité de Wix.com Ltd, veuillez nous contacter à l'adresse suivante : security-report@Wix.com.