Diretrizes de Segurança da Informação

Introdução

Stripe é uma empresa de tecnologia que procura aumentar o PIB da internet através da construção de plataformas econômicas que apoiam o processamento de pagamentos pela internet. A Stripe apoia empresas de todos os tamanhos, desde novas startups até empresas públicas que utilizam os serviços da Stripe para aceitar pagamentos e gerenciar suas transações comerciais on-line

Como parte dos objetivos da Stripe de ser a plataforma de pagamentos da Internet, a Stripe processará informações importantes relacionadas aos nossos usuários e seus clientes. Para estabelecer a confiança entre a Stripe e seus usuários, é fundamental que a Stripe proteja sua plataforma de serviços de pagamento e os dados que trafegam por ela.

A Stripe leva esta missão muito a sério e está empenhada em construir e manter uma cultura de Segurança em Primeiro Lugar (Security First).

Segurança na Stripe

O núcleo do compromisso da Stripe com a Segurança é sua Política Global de Segurança da Informação (“Política”), que estabelece como a Stripe protegerá sua plataforma de serviços de pagamento e seus dados.

A política é revisada e aprovada anualmente por seus executivos seniores de Segurança da Informação e pelo Conselho de Administração.

A Política de Segurança da Informação da Stripe engloba os seguintes principais Princípios de Segurança da Informação

  • Confidencialidade: garantir que as informações não serão acessadas nem divulgadas a pessoas físicas ou jurídicas não autorizadas;
  • Integridade: garantir que as informações não sejam indevidamente alteradas, protegendo sua exatidão e integridade; e
  • Disponibilidade: garantir que as informações estarão disponíveis aos indivíduos autorizados sempre que necessário.

Objetivos

Para cumprir os objetivos e políticas de Segurança da Informação da Stripe, a Stripe implementou um robusto Programa de Segurança da Informação focado em suas Pessoas, Processos e Plataforma.

O Programa de Segurança da Informação da Stripe tem controles vigentes para tratar dos seguintes assuntos:

Pessoas - Espera-se que todo o pessoal da Stripe auxilie no apoio aos objetivos da Stripe de Segurança em Primeiro Lugar. A Stripe se esforça para garantir que suas equipes estejam preparadas para apoiar essas expectativas, fornecendo treinamento e conscientização para manter todos informados sobre os riscos e eventos de segurança. Há controles como:
- Equipes e Liderança dedicadas à Segurança da Informação
- Programa de Gerenciamento de Riscos Tecnológicos
- Verificações de Antecedentes de Pessoal
- Programa de Conscientização de Segurança
- Diretrizes e abordagens documentadas de codificação segura

Processos - A Stripe definiu processos comerciais para garantir que seus objetivos de segurança da informação sejam cumpridos através da governança de segurança, desenvolvimento seguro e operações de segurança. Os processos incluem:
- Processos de Acesso do Usuário que amparam conceitos de privilégios mínimos
- Playbook de Desenvolvimento Formal que integra análises e testes de segurança
- Processos de gerenciamento de vulnerabilidades
- Proteção contra malware
- Processos de monitoramento e alerta de segurança
- Avaliações de risco de segurança de terceiros
- Gerenciamento e resposta a incidentes

Plataforma - A infraestrutura de produção da Stripe é projetada para suportar sistemas seguros e altamente disponíveis para garantir que os serviços da Stripe estejam protegidos e disponíveis para atender às demandas de seus clientes. A plataforma da Stripe é composta por:
- Provedores de Infraestrutura como Serviço (IAAS) em Nuvem para Alavancagem da indústria
- Uma infraestrutura resistente a falhas distribuída em múltiplos Data Centers
- Processos de desenvolvimento de sistema de alavancagem automatizada para garantir a construção de sistemas consistentemente seguros
- Replicação de Dados
- Conectividade de rede criptografada interna e externamente

Compliance de Segurança da Informação

Como processadora de transações de pagamento, a Stripe está sujeita a uma infinidade de normas regulatórias do setor e globais. Para auxiliar o gerenciamento dessas obrigações, a Stripe mantém um programa de Compliance de Segurança que ajuda a identificar, rastrear e prestar suporte às muitas exigências diferentes de segurança da informação a que está sujeita. O programa de compliance de segurança da informação da Stripe obtém e mantém certificações de terceiros, por exemplo:
- Certificação PCI-DSS Nível 1
- Autenticações SOC2 Tipo II
- Certificação Necessária de Segurança Cibernética - Reino Unido

Essas autenticações e certificações são realizadas anualmente e os resultados podem ser compartilhados com os clientes da Stripe mediante solicitação.