Η Confirm χρησιμοποιεί το Auth0 για έλεγχο ταυτότητας. Το Auth0 είναι μια πλατφόρμα διαχείρισης ταυτότητας που επιτρέπει τη γρήγορη πιστοποίηση της ταυτότητας των χρηστών χρησιμοποιώντας τους λογαριασμούς τους στο Google, το LinkedIn, το Facebook ή άλλους λογαριασμούς. Το Auth0 είναι πιστοποιημένο με βάση τα πρότυπα πιστοποίησης ISO27001, ISO27018, SOC 2 Type II, HIPAA BAA, EU-US Privacy Shield Framework, Gold CSA STAR και PCI DSS. Μπορείτε να διαβάσετε περισσότερα για την ασφάλεια του Auth0 στην αντίστοιχη επισκόπηση ασφαλείας.

Επειδή η Confirm χρησιμοποιεί το Auth0 για τον έλεγχο ταυτότητας, δεν λαμβάνουμε ούτε αποθηκεύουμε τον κωδικό πρόσβασής σας όταν δημιουργείτε έναν λογαριασμό στην πλατφόρμα μας.

Όλοι οι υπάλληλοι της Confirm περνούν από αυστηρό έλεγχο ιστορικού ως προϋπόθεση για την πρόσληψη. Όλοι οι λογαριασμοί του προσωπικού της Confirm προστατεύονται από έλεγχο ταυτότητας δύο παραγόντων. Όλοι οι υπολογιστές του προσωπικού έχουν ενεργοποιημένη την πλήρη κρυπτογράφηση δίσκου. Όλοι οι λογαριασμοί ηλεκτρονικού ταχυδρομείου του προσωπικού προστατεύονται με έλεγχο ταυτότητας δύο παραγόντων.

Η Confirm διατηρεί ψηφιακή ασφάλεια τραπεζικού επιπέδου χρησιμοποιώντας κρυπτογράφηση SSL 256 bit. Αυτό περιλαμβάνει συρραφή δεδομένων OCSP και αυστηρή ασφάλεια μεταφοράς HTTP.

Χρησιμοποιούμε τις υπηρεσίες Amazon Web Services (AWS) για τη φιλοξενία των διακομιστών και των δεδομένων μας. Η AWS διαθέτει μια σειρά πιστοποιητικών συμμόρφωσης για τα κέντρα δεδομένων της, που περιλαμβάνουν πλήρη συμμόρφωση SSAE 16 (SOC 1, SOC 2 και SOC 3). Οι παρουσίες των διακομιστών μας φιλοξενούνται σε ένα εικονικό ιδιωτικό νέφος, χρησιμοποιώντας μόνο κέντρα δεδομένων που βρίσκονται στις Ηνωμένες Πολιτείες. Όλη η άμεση πρόσβαση στα συστήματα παραγωγής μας προστατεύεται από κρυπτογράφηση δημόσιου κλειδιού και έλεγχο ταυτότητας δύο παραγόντων.

Τα αρχεία μας, συμπεριλαμβανομένων εκείνων που ανεβάζετε εσείς, φιλοξενούνται στην υπηρεσία αποθήκευσης AWS. Τα αρχεία κρυπτογραφούνται με AES-256 και δημιουργούνται αντίγραφα ασφαλείας εντός των Ηνωμένων Πολιτειών. Όλες οι βάσεις δεδομένων αποθηκεύονται σε συστήματα αρχείων με κρυπτογράφηση AES-256 χρησιμοποιώντας ιδιωτικά κλειδιά που εναλλάσσονται τουλάχιστον ετησίως. Όλα τα ερωτήματα και η κυκλοφορία της βάσης δεδομένων δρομολογούνται μόνο μέσω ασφαλών συνδέσεων SSL.

Ο ιστότοπος Confirm εξυπηρετείται μόνο μέσω SSL για να διατηρηθεί η κυκλοφορία του ιστότοπου ασφαλής και δεν ενεργοποιούνται μη ασφαλή πρωτόκολλα όπως τα SSL 2 και SSL 3. Η Confirm χρησιμοποιεί το CloudFlare για την προστασία από την άρνηση παροχής υπηρεσιών και άλλους κοινούς φορείς επιθέσεων.

Η Confirm χρησιμοποιεί τη Stripe για τις συναλλαγές με πιστωτικές κάρτες. Όταν πραγματοποιείτε μια αγορά στον ιστότοπο της Confirm, η Stripe κατέχει τις πραγματικές πληροφορίες της πιστωτικής κάρτας- η Confirm δεν έχει πρόσβαση στους αριθμούς πιστωτικών καρτών. Μπορείτε να διαβάσετε περισσότερα για την ασφάλεια της Stripe και τη συμμόρφωση με το PCI στην αντίστοιχη επισκόπηση ασφαλείας.

Η Confirm απασχολεί μηχανικούς οι οποίοι έχουν εργαστεί σε άλλους τομείς κρίσιμης ασφάλειαςκαι διαθεσιμότητας, όπως η υγειονομική περίθαλψη και η χρηματοοικονομική τεχνολογία. Όλες οι τεχνικές αλλαγές και οι αλλαγές λογισμικού περνούν από μια διαδικασία αξιολόγησης από ομοτίμους και μια σειρά αυτοματοποιημένων δοκιμών αποδοχής.

Η Confirm προσπαθεί να είναι όσο το δυνατόν πιο άμεσα διαθέσιμη όσον αφορά την υποστήριξη πελατών. Μπορείτε να επικοινωνήσετε μαζί μας ανά πάσα στιγμή στη διεύθυνση [email protected].

Αν πιστεύετε ότι έχετε ανακαλύψει μια ευπάθεια στο Confirm ή αν είστε ερευνητής ασφάλειας που ενδιαφέρεται για αυτόν τον τομέα, επικοινωνήστε μαζί μας στο [email protected]. Συμπεριλάβετε όσο το δυνατόν περισσότερες λεπτομέρειες, συμπεριλαμβανομένων των βημάτων για επανάληψη ή απόδειξη.