Introducción – Siéntete orgulloso de la seguridad de tu sitio web
Wix.com Ltd. es una plataforma líder de desarrollo web en la nube con millones de usuarios en todo el mundo. Consideramos que la seguridad es una de nuestras mayores prioridades y nos esforzamos por implementar los procesos y prácticas de seguridad de más alto nivel en todas las unidades de negocio. Para ayudar a conseguir este objetivo de proteger los datos personales de nuestros usuarios, hemos invertido un gran esfuerzo en garantizar que nuestra plataforma sea segura.
El presente documento detalla una visión general de nuestras políticas de seguridad de la información para el uso seguro y aceptable de nuestra red, infraestructura y servicios operativos.
El presente informe técnico explica el enfoque de Wix.com Ltd. en materia de seguridad y cumplimiento.
Cumplimiento y certificaciones -
Cómo proteger tus datos
Proveedor de servicios y comerciante de nivel 1 conforme a la normativa PCI
El PCI DSS es el estándar en seguridad de la información más estricto para organizaciones que aceptan pagos con tarjeta de crédito. Este estándar garantiza la protección de la privacidad y la confidencialidad de los datos de la tarjeta utilizados para completar la transacción en línea.
ISO 27001
Wix.com Ltd. se somete a una auditoría anual y se certifica en cumplimiento de la norma ISO 27001. La certificación ISO 27001 destaca las mejores prácticas del sector para gestionar los riesgos de seguridad.
ISO 27018
Wix.com Ltd. ha sido auditada y certificada en cumplimiento con la norma ISO 27018. La certificación ISO 27018 describe las mejores prácticas del sector para el manejo de la información personal identificable (IPI) en un contexto de computación en la nube pública.
RGPD
El RGPD es el marco normativo sobre privacidad de la Unión Europea, que entró en vigor el 25 de mayo de 2018. El RGPD protege los derechos de las personas en lo referente a sus datos personales y lo que las empresas pueden hacer con ellos.
Colaboramos continuamente con un equipo de expertos y hemos implementado las modificaciones necesarias en nuestros productos, servicios y documentación, a fin de garantizar el cumplimiento del RGPD. Esto permite a los clientes de Wix tener más control sobre sus datos personales y obtener las herramientas necesarias para proteger la información de los visitantes de los sitios de Wix.
Para obtener más información sobre cómo Wix.com Ltd. procesa los datos de usuarios y cómo ejercer los derechos respecto a la información personal, consulta la Política de Privacidad de Wix.com Ltd.
CCPA
La Ley de Privacidad del Consumidor de California (CCPA) es una ley de privacidad de datos de ámbito estatal que regula el manejo de la información personal (IP) de los residentes de California por empresas de todo el mundo.
La ley estatal tiene por objeto mejorar los derechos de privacidad y la protección de los consumidores proporcionándoles derechos especiales, que incluyen (pero no se limitan a) el «derecho de acceso», el «derecho de supresión» y el «derecho de exclusión de venta de información personal».
De forma similar al RGPD, hemos colaborado con un equipo de expertos y hemos implementado las modificaciones necesarias en nuestros productos, servicios y documentación, a fin de garantizar el cumplimiento de la CCPA.
Niveles adicionales de seguridad:
lo mejor para ti
En Wix.com Ltd., utilizamos controles de niveles adicionales a fin de proteger nuestra infraestructura, supervisando y mejorando constantemente nuestras aplicaciones, sistemas y procesos para satisfacer las crecientes demandas y desafíos de seguridad.
Implementación - Nivel de seguridad
Modelado de amenazas
Cada función nueva que se lanza en la plataforma de creación de sitios web, Wix.com Ltd., se somete a una revisión de seguridad altamente supervisada, utilizando STRIDE como nuestro método de modelado de amenazas. En el marco de nuestra metodología de desarrollo de software, probamos cada función para asegurarnos que cumple con las normas de seguridad estrictas y no es vulnerable al abuso.
Pruebas de penetración
Empleamos nuestro propio equipo de investigación de seguridad para probar la seguridad de nuestra plataforma de forma periódica. La prueba de penetración externa, realizada por expertos en seguridad externos, se lleva a cabo a diario. Todos los hallazgos de la prueba de penetración se comunican a nuestros equipos de I+D y se mitigan de inmediato.
OWASP
Nuestro equipo de desarrollo sigue las prácticas de codificación segura de OWASP.
Cifrado de datos
Wix.com Ltd. utiliza algoritmos y protocolos de encriptación comprobados para asegurar los datos en tránsito o en reposo.
Programa de Bug Bounty: Intenta hackearnos para que mejoremos
En Wix.com Ltd. invitamos a expertos en seguridad independientes a participar en nuestra cuenta activa HackerOne para intentar hackear nuestro sistema y así poder mejorarlo y reforzarlo constantemente. Nuestro programa de Bug Bounty contempla las vulnerabilidades de seguridad con un alcance dinámico sobre dominios variantes como:
-
Ataque XSS
-
Ataque CSRF
-
Vulnerabilidad de inyección SQL
-
Secuestro de DNS
-
Vulnerabilidad de la sesión
-
API insegura
-
Suplantación de autenticidad
Puedes acceder a nuestra cuenta HackerOne aquí.
Seguridad física de alto nivel
Nuestra infraestructura de producción cumple las normas más estrictas del sector en materia de controles físicos, medioambientales y de alojamiento.
Wix está alojado en proveedores de servicios en la nube: AWS y Google Cloud Platform. Equinix proporciona todos los servicios de colocación física. Estos proveedores de infraestructura mantienen las certificaciones de seguridad estándar del sector, incluyendo:
-
ISO 27001
-
ISO 27017
-
ISO 27018
-
SOC 1
-
SOC 2
-
SOC 3
-
PCI DSS Nivel 1
Para más información sobre los controles de seguridad de nuestros proveedores, puedes visitar sus sitios web: AWS, GCP, Equinix.
Seguridad de red - Niveles adicionales de protección
-
TLS 1.2
Todos los sitios nuevos creados en Wix.com Ltd. cuentan con HTTPS activado automáticamente como parte de los servicios básicos que proporciona Wix.com Ltd. Todas las interfaces y funciones críticas, por ejemplo, la autenticación de usuarios, las transacciones de pago (datos PCI) y los procesos relacionados con la PII únicamente son accesibles utilizando la última versión de TLS. Wix.com Ltd es compatible oficialmente con la versión 1.2 de TLS como mínimo.
-
Monitoreo
El programa de monitoreo SOC 24/7/365 de Wix.com Ltd. se centra en la información recopilada del tráfico de la red interna, las acciones de los empleados en los sistemas y el conocimiento externo de las vulnerabilidades. Se realiza el análisis mediante una combinación de herramientas de código abierto y comerciales para la captura y el análisis del tráfico. El análisis automatizado de la red ayuda a determinar cuándo puede existir una amenaza desconocida y la envía al personal de seguridad de Wix.com Ltd., mientras que el análisis de la red se complementa con el análisis automatizado de los registros del sistema.
-
Análisis de vulnerabilidad
Debido a la naturaleza dinámica de la superficie externa de Wix.com Ltd., todas las interfaces públicas y de la nube de Wix.com Ltd. se escanean automáticamente dos veces al día en busca de vulnerabilidades y errores de configuración.
Proveedores externos
Tu seguridad, privacidad y confidencialidad son nuestra máxima prioridad. Por ello, Wix.com Ltd. lleva a cabo un proceso de selección que incluye la evaluación de prácticas de seguridad de los proveedores externos a fin de validar el cumplimiento de nuestros estándares de seguridad. Una vez evaluados los riesgos, el proveedor está obligado a firmar ciertas condiciones contractuales de seguridad, confidencialidad y privacidad correspondientes. Una vez aprobado el proveedor, nuestro equipo de seguridad realizará una revisión anual, en caso de ser necesario, para garantizar su cumplimiento de nuestras normas.
Gestión de riesgo de fraude
La gestión del riesgo de fraude es una actividad fundamental de la empresa que recibe una atención profesional dedicada como parte de nuestro modelo de negocio.
Tanto la actividad a nivel comercial como transaccional están expuestas a actividades fraudulentas de varios tipos, como el fraude en los pagos online y la creación de cuentas falsas.
Una transacción no autorizada por el cliente se denomina fraudulenta. Una transacción fraudulenta puede dar lugar a una devolución de cargo, que podría hacer que los comerciantes perdieran dinero.
El proceso de gestión del riesgo de fraude de Wix.com Ltd. se inicia desde la fase de prevención temprana hasta la fase de reducción de costes operativos, tanto a nivel del comerciante como transaccional.
Política de seguridad y privacidad de Wix.com Ltd. - Privacidad por diseño
Sensibilización y capacitación de los empleados
Todos los empleados de Wix.com Ltd. reciben capacitación sobre seguridad como parte del proceso de inducción. Durante la capacitación, los nuevos empleados aceptan nuestro Código de Conducta, que recalca nuestro compromiso de mantener la información de los clientes segura y protegida. Dependiendo de su función, puede ser necesaria una capacitación adicional sobre aspectos específicos de seguridad. Por ejemplo, el equipo de seguridad de la información instruye a los nuevos ingenieros en temas como prácticas de codificación seguras, diseño de productos y herramientas de pruebas de vulnerabilidad automatizadas, entre otros.
El equipo de seguridad se comunica con todos los empleados de forma periódica, atendiendo a temas como amenazas emergentes, campañas de concienciación sobre phishing y otros temas de seguridad relacionados con el sector.
Nuestro equipo de seguridad especializado
Wix.com Ltd. emplea a profesionales en seguridad y privacidad, expertos en seguridad de la información, de las aplicaciones y la red. El equipo se encarga de mantener los sistemas de defensa de la empresa, desarrollar procesos de revisión de seguridad, crear una infraestructura de seguridad y aplicar las políticas de seguridad de la empresa.
Nuestro equipo de seguridad especializado escanea activamente en busca de amenazas a la seguridad, realiza pruebas de penetración, lleva a cabo medidas de garantía de calidad (QA) y revisiones de seguridad del software.
En Wix.com Ltd., los integrantes del equipo de seguridad de la información revisan los planes de seguridad de las redes, sistemas y servicios. Proporcionan servicios de consultoría para proyectos específicos a los equipos de producto e ingeniería de Wix.com Ltd. Supervisan la actividad sospechosa en las redes de Wix.com Ltd., se ocupan de las amenazas a la seguridad de la información, realizan evaluaciones y auditorías de seguridad rutinarias, a la vez que contratan a expertos externos para realizar evaluaciones de seguridad.
Si tienes alguna pregunta adicional sobre la seguridad en Wix.com Ltd., contáctanos en security-report@Wix.com.
Wix.com Ltd. provee servicio a más de 200 millones de usuarios y empresas, siendo nuestra máxima prioridad tu seguridad, privacidad y confidencialidad.