Pedoman Keamanan Informasi

Pendahuluan

Stripe adalah perusahaan teknologi yang berusaha meningkatkan PDB internet dengan membangun platform hemat-biaya yang mendukung pemrosesan pembayaran internet. Stripe mendukung berbagai perusahaan dengan semua ukuran, dari startup baru hingga perusahaan publik, yang menggunakan layanan Stripe untuk menerima pembayaran dan mengelola transaksi bisnis online mereka.

Sebagai bagian dari sasaran Stripe untuk menjadi platform pembayaran internet, Stripe memproses informasi penting yang menyangkut pengguna kami dan pelanggan mereka. Untuk menciptakan kepercayaan antara Stripe dan penggunanya, sangat penting bagi Stripe untuk melindungi platform layanan pembayarannya dan data yang melewatinya.

Stripe menganggap sangat serius dan berkomitmen untuk membangun dan memelihara budaya Mengutamakan Keamanan.

Keamanan di Stripe

Inti dari komitmen Stripe pada Keamanan adalah Kebijakan Keamanan Informasi Global ("Kebijakan"), yang menetapkan cara Stripe melindungi platform layanan pembayaran dan datanya.

Kebijakan tersebut ditinjau dan disetujui setiap tahun oleh eksekutif Keamanan Informasi seniornya dan Dewan Direksi.

Kebijakan Keamanan Informasi Stripe meliputi Prinsip-Prinsip Keamanan Informasi utama berikut ini

  • Kerahasiaan: untuk memastikan bahwa informasi tidak diakses oleh atau diungkapkan kepada perorangan atau perusahaan yang tidak diizinkan;
  • Integritas: untuk memastikan bahwa informasi tidak diubah secara tidak wajar, melindungi akurasi dan integritasnya; serta
  • Ketersediaan: untuk memastikan bahwa informasi tersedia bagi perorangan yang diizinkan bilamana diperlukan.

Sasaran

Untuk memenuhi sasaran dan kebijakan Keamanan Informasi Stripe, Stripe telah mengimplementasikan Program Keamanan Informasi yang kuat dengan memfokuskan pada Orang, Proses, dan Platform.

Program Keamanan Informasi Stripe menempatkan berbagai kontrol untuk menangani masalah berikut:

Orang - Semua karyawan Stripe diharapkan membantu mendukung sasaran Stripe dalam Mengutamakan Keamanan. Stripe berusaha keras memastikan bahwa semua timnya siap mendukung harapan ini dengan menyediakan pelatihan dan kesadaran untuk membuat semua orang mengetahui risiko dan kejadian keamanan. Kontrol yang telah ditempatkan seperti:
- Kepemimpinan dan Tim Khusus Keamanan Informasi
- Program Manajemen Risiko Teknologi
- Pemeriksaan Latar Belakang Karyawan
- Program Kesadaran Keamanan
- Pendekatan dan pedoman pemrograman aman yang terdokumentasi

Proses - Stripe telah menetapkan beberapa proses bisnis untuk memastikan sasaran keamanan informasinya tercapai melalui tata kelola keamanan, pengembangan yang aman, dan beberapa operasi keamanan. Proses ini di antaranya:
- Proses Akses Pengguna yang mendukung konsep privilese minimal
- Strategi Pengembangan Formal yang mengintegrasikan analisis keamanan dan pengujian
- Proses manajemen kerentanan
- Perlindungan terhadap malware
- Pemantauan keamanan dan proses peringatan
- Penilaian risiko keamanan pihak ketiga
- Manajemen dan respons insiden

Platform - Infrastruktur produksi Stripe dirancang untuk mendukung sistem yang aman dan selalu tersedia untuk memastikan layanan Stripe terlindungi dan tersedia guna memenuhi permintaan pelanggannya. Platform Stripe terdiri dari:
- Penyedia Cloud Infrastruktur-Sebagai-Layanan (IAAS) untuk Pemanfaatan dalam Industri
- Infrastruktur tahan-bencana yang terdistribusi ke berbagai pusat data
- Proses pengembangan sistem pemanfaatan otomatis untuk memastikan pembangunan sistem yang aman secara konsisten
- Replikasi Data
- Konektivitas jaringan yang terenkripsi secara internal dan eksternal

Kepatuhan Keamanan Informasi

Sebagai pemroses transaksi pembayaran, Stripe tunduk pada sekian banyak standar regulasi industri dan global. Untuk membantu mengelola semua kewajiban hukum ini, Stripe memelihara program Kepatuhan Keamanan yang membantu mengidentifikasi, melacak, dan mendukung beberapa macam persyaratan keamanan informasi di mana Stripe menjadi subjeknya. Program kepatuhan keamanan informasi Stripe memperoleh dan memelihara berbagai sertifikasi pihak ketiga, misalnya:
- PCI DSS Level 1 Certification
- SOC2 Type 2 Authentications
- Sertifikasi Wajib Keamanan Siber - Inggris

Semua autentikasi dan sertifikasi ini dilakukan setiap tahun, dan hasilnya tersedia bagi pelanggan Stripe bila diminta.