Einführung - Sicherheit kommt an erster Stelle
Wix.com Ltd ist eine der führenden cloud-basierten Plattformen für Webentwicklung mit weltweit Millionen von Nutzern. Unter anderem hat die Sicherheit bei uns oberste Priorität und wir sind bestrebt, in all unseren Unternehmensbereichen Sicherheitsprozesse und -praktiken auf höchstem Niveau anzuwenden. Um sicherzustellen, dass wir unser Ziel erreichen und die personenbezogenen Daten unserer Nutzer schützen können, haben wir keine Mühen gescheut, um die Sicherheit und den Schutz unserer Plattform zu gewährleisten.
Dieses Dokument gibt einen detaillierten Überblick über unsere Datenschutzrichtlinien betreffend den Schutz und die akzeptable Nutzung unseres Netzwerks, unserer Infrastruktur und unserer Betriebsdienstleistungen.
Dieses Whitepaper erläutert, wie Wix.com Ltd mit Sicherheit und Compliance umgeht.
Compliance und Zertifizierungen - Sicherheit Ihrer Daten gewährleisten
PCI Level 1 Händler & Dienstleistungsanbieter
Die PCI DSS sind die striktesten Informationsnormen für Organisationen, welche die Bezahlung per Kreditkarte akzeptieren. Diese Normen gewährleisten den Schutz der Privatsphäre sowie die Vertraulichkeit der Kartendaten, welche zum Abschluss der Online-Transaktion genutzt werden.
ISO 27001
Wix.com Ltd unterliegt einer jährlichen Prüfung und ist gemäß ISO 27001 zertifiziert. Die Zertifizierung gemäß ISO 27001 bezieht sich auf branchenspezifische Best Practices für das Management von Sicherheitsrisiken.
ISO 27018
Wix.com Ltd wurde einer Prüfung unterzogen und ist gemäß ISO 27018 zertifiziert. Die Zertifizierung gemäß ISO 27018 bezieht sich auf branchenspezifische Best Practices für den Umgang mit Daten, welche die Identifizierung einer Person ermöglichen (PII - Personally Identifiable Information), in einer öffentlich zugänglichen cloud-basierten Umgebung.
DSGVO
Die DSGVO stellt die Rahmenbedingungen für die Datenschutzgesetze der Europäischen Union dar und trat am 25. Mai 2018 in Kraft. Die DSGVO dient dem Schutz von Personenrechten in Bezug auf deren personenbezogene Daten und wie Unternehmen diese verwenden dürfen.
Wir arbeiten kontinuierlich mit einem Expertenteam zusammen und haben die erforderlichen Anpassungen an unseren Produkten, Dienstleistungen und Dokumentationen vorgenommen, um die Einhaltung der DSGVO sicherzustellen. Dadurch erhalten die Kunden von Wix mehr Kontrolle über ihre personenbezogenen Daten sowie die notwendigen Tools zum Schutz der Informationen von Besuchern der Webseiten von Wix.
Für mehr Informationen darüber, wie Wix.com Ltd Nutzerdaten verarbeitet und wie Sie Ihre Rechte bezüglich Ihrer personenbezogenen Daten geltend machen können, gehen Sie bitte zu Datenschutzrichtlinien von Wix.com Ltd.
CCPA
Der California Consumer Privacy Act (CCPA) ist ein US-bundesstaatliches Datenschutzgesetz, welches vorgibt, inwieweit es Unternehmen auf der ganzen Welt gestattet ist, personenbezogene Daten (PI - Personal Information) von Bürgern des US-Bundesstaates Kalifornien zu handhaben.
Das Gesetz des US-Bundesstaates zielt darauf ab, das Recht auf Privatsphäre und den Verbraucherschutz weiter auszubauen, indem besondere Rechte gewährt werden. Solche Rechte umfassen (sind aber nicht beschränkt auf) das „Recht auf Zugriff“, das „Recht auf Löschung“ und das „Recht auf Widerruf der Einverständniserklärung bezüglich der Veräußerung personenbezogener Daten“.
Ähnlich wie im Falle der DSGVO haben wir mit einem Expertenteam zusammengearbeitet und die erforderlichen Anpassungen an unseren Produkten, Dienstleistungen und Dokumentationen vorgenommen, um die Einhaltung des CCPA sicherzustellen.
Mehrstufige Sicherheitsmaßnahmen -
Für unsere Kunden das Beste
Wix.com Ltd verfügt über mehrstufige Kontrollen zur Unterstützung des Schutzes unserer Infrastruktur, welche unsere Anwendungen, Systeme und Prozesse kontinuierlich überwachen und verbessern, um so die stetig steigenden Anforderungen und Herausforderungen bezüglich der Sicherheitsmaßnahmen zu erfüllen und zu bewältigen.
Sicherheit auf Anwendungsebene
Bedrohungsmodellierung
Jede neue Funktion, die auf der Plattform für Webentwicklung von Wix.com Ltd veröffentlicht wird, wird einer strengen Sicherheitsprüfung unterzogen. Die von uns verwendete Methode der Bedrohungsmodellierung ist STRIDE. Im Rahmen unserer Vorgehensweise bei der Softwareentwicklung testen wir jede Funktion, um zu gewährleisten, dass die den strengen Sicherheitsauflagen genügt und keine Anfälligkeiten für Missbrauch aufweist.
Eindringtests
Wir beschäftigen ein eigenes designiertes Security Research Team, um den Sicherheitsstatus unserer Plattform regelmäßig zu prüfen. Externe Pentests werden täglich von externen Sicherheitsexperten durchgeführt. Sämtliche Ergebnisse der Pentests werden an unser F&E-Team übermittelt und umgehend bearbeitet.
OWASP
Unser Entwicklerteam befolgt die sicheren Kodierpraktiken OWASP.
Verschlüsselung
Zum Schutz von Daten während der Übermittlung und Speicherung nutzt Wix.com Ltd eingängig geprüfte Algorithmen und Protokolle für deren Verschlüsselung.
Bug Bounty Program - Jeder Versuch, uns zu hacken, stärkt unsere Abwehr
Freiberufliche Sicherheitsexperten können sehr gern dem aktiven Konto von Wix.com Ltd bei HackerOne beitreten und versuchen, das System zu hacken. Auf diese Weise kann Wix.com Ltd auch weiterhin sein System kontinuierlich verbessern und ausbauen. Unser Bounty Program betrifft unterschiedliche dynamische Schwachstellen in der Security unserer Domains, wie z.B.:
-
XSS-Angriffe
-
CSRF-Angriffe
-
Schwachstellen durch SQL-Einschleusung
-
DNS-Hijacking
-
Sitzungsschwachstellen
-
Ungesicherte API
-
Spoofing von Authentifizierungen
Sie können unser Konto bei HackerOne hier einsehen.
Erstklassige physische Sicherheitsmaßnahmen
Unser Produktionsumfeld entspricht den höchsten Standards der Branche für physische, sowie die Umwelt und das Hosting betreffende Kontrollmaßnahmen.
Wix wird von cloud-basierten DC-Anbietern gehostet: AWS und Google Cloud Platform. Equinix stellt sämtliche physischen Dienstleistungen im Zusammenhang mit der Colocation zur Verfügung. Diese Infrastruktur-Anbieter verfügen über aktuelle Sicherheitszertifizierungen, die den Standards der Branche entsprechen, einschließlich:
-
ISO 27001
-
ISO 27017
-
ISO 27018
-
SOC 1
-
SOC 2
-
SOC 3
-
PCI DSS Level 1
Erfahren Sie mehr über die Sicherheitskontrollmaßnahmen unserer Anbieter, indem Sie deren jeweilige Webseiten besuchen: AWS, GCP, Equinix.
Sicherheit des Netzwerks - Zusätzlicher Schutz
-
TLS 1.2
Bei allen neuen Webseiten, die auf Wix.com Ltd erstellt werden, ist HTTPS automatisch aktiviert. Dies geschieht im Rahmen der grundlegenden Dienstleistungen, die Wix.com Ltd anbietet. Sämtliche kritischen Schnittstellen und Funktionen, d.h. die Nutzerauthentifizierung, Zahlungstransaktionen (PCI-Daten) und Prozesse im Zusammenhang mit PII sind ausschließlich unter Nutzung der aktuellen Version von TLS zugänglich. Wix.com unterstützt offiziell TLS in der Version 1.2 als Mindestanforderung.
-
Überwachung
Das SOC 24/7/365 Überwachungsprogramm von Wix.com Ltd hat Informationen zum Fokus, die auf Grundlage des internen Netzwerkverkehrs und externen Wissens über Schwachstellen sowie basierend auf Aktionen gesammelt werden, die Angestellte im System ausführen. Analysen werden mittels einer Kombination aus Open Source Software und kommerziellen Tools für Traffic-Erfassung und Parsing durchgeführt. Automatisierte Netzwerkanalysen helfen dabei, festzustellen, wann unbekannte Bedrohungen bestehen könnten, und informieren in der Folge das Sicherheitsteam von Wix.com Ltd. Die Netzwerkanalysen werden durch automatisierte Analysen der Systemprotokolle ergänzt.
-
Suche nach Schwachstellen
Aufgrund der dynamischen Beschaffenheit der externen Nutzeroberfläche von Wix.com Ltd werden alle cloud-basierten und öffentlichen Schnittstellen von Wix.com Ltd zweimal täglich automatisch auf Schwachstellen und Fehlkonfigurationen gescannt.
Drittanbieter
Ihre Sicherheit, Privatsphäre und Vertraulichkeit sind unsere oberste Priorität. Aus diesem Grund führt Wix.com Ltd ein Überprüfungsverfahren durch, welches die Beurteilung der Sicherheitspraktiken von Drittanbietern umfasst, um sicherzustellen, dass diese unseren Sicherheitsstandards entsprechen. Sobald die Risikobewertung abgeschlossen ist, steht der Anbieter
in der Pflicht, angemessene vertragliche Bestimmungen bezüglich der Sicherheit, der Vertraulichkeit und des Datenschutzes abzuschließen. Sobald ein Anbieter zugelassen wurde, führt unser Sicherheitsteam gegebenenfalls eine jährliche Prüfung der Einhaltung der Standards durch.
Management des Betrugsrisikos
Das Management des Betrugsrisikos gehört zu den Kernaktivitäten des Unternehmens, welchem im Rahmen unseres Geschäftsmodells eine bestimmte, professionelle Beachtung zuteilwird.
Die Aktivitäten, welche sowohl auf Händlerebene als auch auf Transaktionsebene durchgeführt werden, sind betrügerischen Aktivitäten unterschiedlicher Art ausgesetzt, wie z.B. dem Betrug beim Online-Zahlungsverkehr und der Erstellung von gefälschten Konten.
Eine nicht von einem Kunden autorisierte Transaktion wird als Betrug definiert. Eine betrügerische Transaktion kann zu Rückbuchungen und folglich zu finanziellen Verlusten der Händler führen.
Der Prozess für das Management des Betrugsrisikos von Wix.com Ltd setzt in der Phase der frühzeitigen Prävention an und reicht bis zur Phase der Reduzierung von Betriebskosten auf Händler- und Transaktionsebene.
Sicherheit und Datenschutz bei Wix.com Ltd - Spezifische Maßnahmen
Mitarbeiterkenntnis und Schulungen
Alle Mitarbeiter von Wix.com Ltd erhalten im Rahmen ihrer Einarbeitung eine Sicherheitsschulung. Während der Einarbeitungszeit stimmen die neuen Mitarbeiter dem Verhaltenskodex zu, welche unser Bestreben betont, die Daten unserer Kunden zu schützen und zu sichern. Entsprechend ihrer Position im Unternehmen können zusätzliche Schulungen zu bestimmten Sicherheitsaspekten erforderlich sein. Beispielsweise unterweist das Information Security Team neu angestellte Ingenieure in Bezug auf Themen wie sichere Kodierpraktiken, Produktdesign und automatisierte Tools zur Prüfung auf Schwachstellen, etc.
Das Security Team kommuniziert regelmäßig mit allen Angestellten zu Themen wie aufkommende Bedrohungen, Kampagnen zu Phishing sowie zu anderen branchenspezifischen Sicherheitsaspekten.
Unser designiertes Security Team
Wix.com Ltd beschäftigt Sicherheits- und Datenschutzexperten, die sich auf die Sicherheit von Informationen, Anwendungen und Netzwerken spezialisiert haben. Die Aufgabe des Teams besteht im Betrieb des Schutzsystems des Unternehmens, in der Entwicklung von Prüfungsverfahren für die Sicherheitsmaßnahmen, im Ausbau der Sicherheitsinfrastruktur und in der Umsetzung der Sicherheitsbestimmungen des Unternehmens.
Unser designiertes Security Team sucht aktiv nach Bedrohungen, führt Penetrationstests durch, ergreift Maßnahmen zur Qualitätssicherung (QA) und prüft die Sicherheit von Software.
Innerhalb von Wix.com Ltd prüfen die Mitglieder des Information Security Teams die Sicherheit von Netzwerken, Systemen und Dienstleistungen. Sie stellen den Produkt- und Ingenieursteams von Wix.com Ltd projektspezifische Beratungsdienste zur Verfügung. Sie führen die Überwachung im Hinblick auf verdächtige Aktivitäten im Netzwerk von Wix.com Ltd durch, beschäftigen sich mit Bedrohungen des Datenschutzes, führen routinemäßige Beurteilungen und Prüfungen des Sicherheitsstatus durch und beauftragen externe Fachleute mit der Durchführung von Sicherheitsbewertungen.
Sollten Sie weitere Fragen zu den Sicherheitsmaßnahmen der Wix.com Ltd haben, kontaktieren Sie uns bitte unter: security-report@Wix.com.
Wix.com Ltd bedient mehr als 200+ Millionen Nutzer und Unternehmen, wobei deren Sicherheit, Privatsphäre und Vertraulichkeit stets an erster Stelle steht.