Stripe è una società tecnologica che mira ad aumentare il PIL di Internet implementando piattaforme economicamente convenienti per l'elaborazione dei pagamenti in Internet. Stripe supporta aziende di tutte le dimensioni, dalle nuove start-up alle società quotate in borsa, che utilizzano i suoi servizi per accettare i pagamenti e gestire le transazioni aziendali online.
Nel perseguimento dell'obiettivo di essere la piattaforma per i pagamenti di Internet, Stripe elabora informazioni importanti relative agli utenti e ai loro clienti. Per cementare la fiducia tra Stripe e i suoi utenti, è fondamentale che Stripe protegga la sua piattaforma di servizi di pagamento e i dati trattati tramite la piattaforma.
Stripe vi attribuisce estrema importanza e si impegna a costruire e mantenere una cultura che pone la sicurezza al centro di ogni cosa.
Al centro dell'impegno di Stripe per la sicurezza è la sua Politica per la sicurezza globale delle informazioni (la "Politica"), che stabilisce le modalità per proteggere la piattaforma di servizi di pagamento e i dati di Stripe.
La Politica viene riesaminata e approvata annualmente dai dirigenti in ambito Sicurezza delle informazioni e dal Consiglio di amministrazione.
La Politica per la sicurezza delle informazioni di Stripe comprende i seguenti Principi chiave
-__ Riservatezza:__ per garantire che le informazioni non siano accessibili o divulgate a persone o imprese non autorizzate;
- Integrità: per garantire che le informazioni non siano alterate indebitamente, tutelandone l'accuratezza e l'integrità; e
- Disponibilità: per garantire che le informazioni siano disponibili per le persone autorizzate ove necessario.
Per conseguire gli obiettivi e rispettare le politiche in materia di Sicurezza delle informazioni, Stripe ha implementato un solido Programma per la sicurezza delle informazioni incentrato su Personale, Procedure e Piattaforma.
Il Programma per la sicurezza delle informazioni di Stripe si avvale di una serie di controlli volti ad affrontare i seguenti aspetti:
Personale: tutto il personale di Stripe dovrebbe contribuire a sostenere gli obiettivi dell'approccio che pone la sicurezza al centro. Stripe si adopera per assicurare che i suoi team siano preparati a rispondere a tale aspettativa, fornendo loro formazione e sensibilizzazione per tenere tutti informati sui rischi e sugli eventi di sicurezza. Sono stati istituiti presidi quali:
- Team e leadership dedicati alla sicurezza delle informazioni
- Programma di gestione dei rischi tecnologici
- Controllo dei precedenti personali
- Programma di sensibilizzazione alla sicurezza
- Linee guida e approcci di codifica sicuri documentati
Procedure: Stripe ha definito procedure aziendali per assicurare che i suoi obiettivi di sicurezza delle informazioni siano conseguiti attraverso la gestione della sicurezza, lo sviluppo sicuro e le procedure operative. Le procedure comprendono:
- Procedure di accesso degli utenti che supportano i principi del minimo privilegio
- Strategia formale per lo sviluppo che integra analisi e test di sicurezza
- Procedure di gestione delle vulnerabilità
- Protezione malware
- Procedure di monitoraggio della sicurezza e di allerta
- Valutazione dei rischi di sicurezza associati a terzi
- Gestione e risposta in caso di incidenti
Piattaforma: l'infrastruttura di produzione di Stripe è progettata per supportare sistemi sicuri e altamente disponibili al fine di assicurare che i servizi di Stripe siano protetti e disponibili per soddisfare le esigenze dei clienti. La piattaforma di Stripe è composta da:
- Fornitori di Infrastructure-as-a-Service (IAAS) su cloud quale leva settoriale
- Un'infrastruttura resistente ai disastri distribuita su più data center
- Procedure automatizzate di sviluppo del sistema di leva per assicurare la creazione di sistemi costantemente sicuri
- Replica dei dati
- Connettività di rete crittografata internamente ed esternamente
In quanto responsabile del trattamento delle transazioni di pagamento, Stripe è soggetta a una moltitudine di standard normativi settoriali e globali. Per assistere nella gestione di questi obblighi, Stripe ha creato un Programma per la conformità alla sicurezza che aiuta a identificare, monitorare e supportare i molteplici e diversi requisiti di sicurezza delle informazioni a cui è soggetta. Il Programma per la conformità alla sicurezza delle informazioni di Stripe ottiene e mantiene certificazioni di parti terze, ad esempio:
- Certificazione PCI DSS Level 1
- Autenticazioni SOC2 Tipo 2
- Certificazione di sicurezza informatica obbligatoria del Regno Unito (Cybersecurity Certification)
Queste autenticazioni e certificazioni vengono rinnovate annualmente e i risultati sono disponibili per i clienti di Stripe su richiesta.