Sicurezza dell'account
Confirm utilizza Auth0 per l'autenticazione. Auth0 è una piattaforma di gestione delle identità che consente agli utenti di autenticarsi rapidamente utilizzando i propri account Google, LinkedIn, Facebook o altri. Auth0 è certificato per gli standard ISO27001, ISO27018, SOC 2 Type II, HIPAA BAA, EU-US Privacy Shield Framework, Gold CSA STAR e PCI DSS Certification. Per saperne di più sulla sicurezza di Auth0, consultate la sua panoramica sulla sicurezza.
Poiché Confirm utilizza Auth0 per l'autenticazione, non riceviamo né memorizziamo la vostra password quando create un account sulla nostra piattaforma.
Sicurezza operativa
Tutti i dipendenti di Confirm passano un rigoroso controllo dei precedenti personali come condizione per l'assunzione. Tutti gli account del personale di Confirm sono protetti dall'autenticazione a due fattori. Tutti i computer del personale sono dotati di crittografia completa del disco. Tutti gli account di posta elettronica del personale sono protetti dall'autenticazione a due fattori.
Sicurezza tecnica e dei dati
Confirm mantiene una sicurezza digitale di livello bancario utilizzando la crittografia SSL a 256 bit. Questo include la pinzatura OCSP e la sicurezza del trasporto HTTP.
Utilizziamo Amazon Web Services (AWS) per ospitare i nostri server e dati. AWS dispone di una serie di certificati di conformità per i propri centri dati, tra cui la conformità completa SSAE 16 (SOC 1, SOC 2 e SOC 3). Le nostre istanze server sono ospitate in un cloud privato virtuale, utilizzando solo centri dati situati negli Stati Uniti. Tutti gli accessi diretti ai nostri sistemi di produzione sono protetti da crittografia a chiave pubblica e autenticazione a due fattori.
I nostri file, compresi quelli caricati dall'utente, sono ospitati sul servizio di archiviazione AWS. I file sono crittografati con AES-256 e sottoposti a backup negli Stati Uniti. Tutti i database sono archiviati su file system criptati a riposo con crittografia AES-256 e chiavi private che vengono ruotate almeno una volta all'anno. Tutte le interrogazioni del database e il traffico sono instradati solo attraverso connessioni protette SSL.
Il sito Web di Confirm viene servito solo tramite SSL per garantire la sicurezza del traffico del sito Web e i protocolli non sicuri come SSL 2 e SSL 3 non sono abilitati. Confirm utilizza CloudFlare per proteggersi dai denial of service e da altri vettori di attacco comuni.
Sicurezza finanziaria
Confirm utilizza Stripe per le transazioni con carta di credito. Quando si effettua un acquisto sul sito web di Confirm, Stripe detiene i dati della carta di credito; Confirm non ha accesso ai numeri di carta di credito. Per ulteriori informazioni sulla sicurezza di Stripe e sulla conformità PCI, consultare la sua panoramica sulla sicurezza.
Competenza tecnica
Confirm si avvale di ingegneri che hanno lavorato in altri settori critici per la sicurezza e la disponibilità, tra cui la tecnologia sanitaria e finanziaria. Tutte le modifiche tecniche e software vengono sottoposte a un processo di revisione tra pari e a una serie di test di accettazione automatizzati.
Opzioni di supporto
Confirm si sforza di essere il più accessibile possibile per quanto riguarda l'assistenza clienti. È possibile contattarci in qualsiasi momento all'indirizzo [email protected].
Divulgazione responsabile
Se si ritiene di aver scoperto una vulnerabilità all'interno di Confirm o se si è un ricercatore di sicurezza interessato a questo settore, è possibile contattarci all'indirizzo [email protected]. Includete il maggior numero possibile di dettagli, compresi i passaggi da ripetere o da provare.