Richtlijnen voor informatiebeveiliging

Inleiding

Stripe is een technologiebedrijf dat de omzet op internet een boost wil geven door kosteneffectieve platforms te ontwikkelen die de verwerking van online betalingen ondersteunen. Stripe helpt alle soorten bedrijven: van start-ups tot beursgenoteerde ondernemingen. Ze gebruiken de diensten van Stripe om betalingen te accepteren en hun online zakelijke transacties te beheren.

Omdat Stripe hét betaalplatform op internet wil worden, verwerkt Stripe belangrijke informatie van onze gebruikers en hun klanten. We willen dat onze gebruikers Stripe vertrouwen. Het is dan ook cruciaal dat Stripe zijn platform voor betaalvoorzieningen beschermt samen met de gegevens die via het platform worden verwerkt.

Stripe neemt deze taak zeer serieus en doet er alles aan om een cultuur op te bouwen en te onderhouden waarin veiligheid vooropstaat.

Beveiliging bij Stripe

De basis van Stripe's toewijding aan beveiliging is het wereldwijde beleid voor informatiebeveiliging (het 'Beleid'). Hierin staat hoe Stripe zijn platform voor betaalvoorzieningen en gegevens beschermt.

Het Beleid wordt elk jaar beoordeeld en goedgekeurd door de senior executives voor informatiebeveiliging en door de Raad van Bestuur.

Het beleid voor informatiebeveiliging van Stripe bevat de volgende basisbeginselen voor informatiebeveiliging:

  • Vertrouwelijkheid: om te garanderen dat informatie niet wordt ingezien door noch wordt openbaar gemaakt aan onbevoegde personen of bedrijven;
  • Integriteit: om te garanderen dat informatie niet onbedoeld wordt aangepast, zodat de nauwkeurigheid en integriteit worden beschermd; en
  • Beschikbaarheid: om te garanderen dat informatie beschikbaar is voor bevoegde personen als zij die nodig hebben.

Doelstellingen

Stripe heeft een omvangrijk programma voor informatiebeveiliging opgesteld dat zich richt op personen, processen en het platform om zo tegemoet te komen aan de doelen en voorschriften rondom informatiebeveiliging.

Het programma voor informatiebeveiliging van Stripe is voorzien van controlemaatregelen om in te spelen op de volgende kwesties:

Personen - Van alle Stripe-medewerkers wordt verwacht dat ze een bijdrage leveren aan de veiligheidsdoelen van Stripe. Stripe wil zijn teams hierop voorbereiden met behulp van training en bewustwording om zo iedereen op de hoogte te houden van beveiligingsrisico's en -gebeurtenissen. Voorbeelden van deze maatregelen zijn:
- speciale teams en managers voor informatiebeveiliging;
- een programma voor het beheer van technologische risico's;
- antecedentenonderzoek van medewerkers;
- een programma voor bewustwording van beveiliging;
- vastgelegde richtlijnen en werkwijzen voor veilig programmeren.

Processen - Stripe heeft zakelijke processen opgesteld om te voldoen aan de doelstellingen voor informatiebeveiliging via aan beveiliging gerelateerd bestuur, ontwikkeling en activiteiten. Deze processen zijn onder andere:
- processen voor gebruikerstoegang waarbij bevoegdheden tot een minimum worden beperkt;
- een formeel draaiboek voor ontwikkeling waarbij analyses en tests van de beveiliging worden geïntegreerd;
- processen voor het beheer van kwetsbaarheden;
- bescherming tegen malware;
- processen voor beveiligingscontrole en meldingen;
- beoordelingen van beveiligingsrisico's bij derden;
- beheer en afhandeling van incidenten.

Platform - De productie-infrastructuur van Stripe is ontworpen om veilige systemen te ondersteunen die vrijwel altijd beschikbaar zijn, zodat de diensten van Stripe worden beschermd en voldoen aan de eisen van klanten. Het platform van Stripe bestaat uit:
- providers van Infrastructure-as-a-Service (IaaS) in de cloud voor meer slagkracht binnen de branche;
- een verspreide, rampbestendige infrastructuur met meerdere datacenters;
- geautomatiseerde processen voor de ontwikkeling van leveragesystemen om de bouw van consequent veilige systemen te garanderen;
- gegevensreplicatie;
- interne en externe versleutelde netwerkconnectiviteit.

Compliance met informatiebeveiliging

Als betalingsverwerker is Stripe onderworpen aan allerlei wettelijke brancheregels en internationale voorschriften. Stripe werkt met een programma voor beveiligingscompliance om deze verplichtingen beter te beheren. Met dit programma worden de vele verschillende vereisten voor informatiebeveiliging ondersteund. Als onderdeel van het programma van Stripe voor compliance met informatiebeveiliging verkrijgt en onderhoudt het bedrijf externe certificeringen, waaronder:
- PCI DSS-certificering op niveau 1;
- SOC2 Type 2-verificaties;
- verplichte certificering voor cyberbeveiliging in het VK.

Deze verificaties en certificeringen vinden jaarlijks plaats. Klanten van Stripe kunnen de resultaten opvragen.