Riktlinjer för informationssäkerhet

Introduktion

Stripe är ett teknikföretag som försöker öka internets BNP genom att bygga kostnadseffektiva plattformar som stödjer betalningshantering på internet. Stripe stödjer företag av alla storlekar, från nyetablerade till börsnoterade företag, som använder Stripes tjänster för att ta emot betalningar och hantera sina affärstransaktioner på nätet.

Som en del av Stripes mål att vara internets betalningsplattform behandlar Stripe viktig information om våra användare och deras kunder. För att skapa förtroende mellan Stripe och dess användare är det avgörande att Stripe skyddar sin plattform för betalningstjänster och de data som förmedlas via den.

Stripe tar detta på stort allvar och har åtagit sig att skapa och upprätthålla en kultur där säkerheten kommer först.

Säkerhet inom Stripe

Grunden för Stripes säkerhetsåtagande är den globala policyn om informationssäkerhet (”policyn”), som anger hur Stripe kommer att skydda sin plattform för betalningstjänster och dess data.

Policyn granskas och godkänns varje år av Stripes högsta ansvariga för informationssäkerhet och av styrelsen.

Stripes policy om informationssäkerhet omfattar följande viktiga principer för informationssäkerhet

  • Konfidentialitet: att säkerställa att information inte är tillgänglig för eller överlämnas till obehöriga individer eller företag
  • Integritet: att säkerställa att information inte otillbörligen ändras, skydda dess korrekthet och integritet samt
  • Tillgänglighet: att säkerställa att information vid behov är tillgänglig för behöriga individer.

Mål

För att uppnå Stripes mål och policyer för informationssäkerhet har Stripe implementerat ett gediget program för informationssäkerhet med fokus på personal, processer och plattform.

Stripes program för informationssäkerhet har kontrollfunktioner på plats för att hantera följande frågor:

Personal - All personal hos Stripe förväntas hjälpa till med att stödja Stripes mål om att sätta säkerheten först. Stripe har som mål att säkerställa att teamen är beredda att stödja dessa förväntningar genom att erbjuda utbildning och medvetenhet så att alla är informerade om säkerhetsrisker och incidenter. Det finns kontrollfunktioner på plats som:
- Särskilda team och ledarskap inom informationssäkerhet
- Program för hantering av tekniska risker
- Bakgrundskontroller av personal
- Program för säkerhetsmedvetenhet
- Dokumenterade riktlinjer och strategier för säker kodning

Processer - Stripe har definierade affärsprocesser för att säkerställa att målen för informationssäkerhet uppnås genom säker styrning, säker utveckling och säker verksamhet. Processerna innefattar:
- Åtkomst för användare som stödjer koncept om minsta möjliga behörighet
- Regelverk för formell utveckling som integrerar säkerhetsanalys och testning
- Processer för hantering av sårbarhet
- Skydd mot skadlig programvara
- Säkerhetsövervakning och larmprocesser
- Bedömningar av säkerhetsrisker från tredje part
- Incidenthantering och incidentsvar

Plattform - Stripes produktionsinfrastruktur är utformad för att stödja säkra och mycket tillgängliga system för att säkerställa att Stripes tjänster är skyddade och tillgängliga att möta kundernas krav. Stripes plattform består av:
- Leverantörer av molnbaserad infrastructure-as-a-service (IAAS) för effektivisering av branschen
- En distribuerad katastrofsäker infrastruktur på flera datacenter
- Automatiserade systemutvecklingsprocesser för att säkerställa att enhetligt säkra system byggs
- Säkerhetskopiering av data
- Krypterad nätverksanslutning internt och externt

Efterlevnad av informationssäkerhet

Som behandlare av betalningstransaktioner omfattas Stripe av ett stort antal branschstandarder och globala regelverk. Som hjälp att hantera dessa åtaganden har Stripe ett program för säkerhetsefterlevnad som hjälper till att identifiera, spåra och stödja de många olika krav på informationssäkerhet som Stripe omfattas av. Stripes program för efterlevnad av informationssäkerhet inhämtar och upprätthåller certifieringar från tredje part, exempelvis:
- PCI DSS nivå-1-certifiering
- SOC2 typ 2-autentisering
- Obligatorisk cybersäkerhetscertifiering - Storbritannien

De här autentiseringarna och certifieringarna utförs årligen och resultatet är tillgängligt för Stripes kunder på begäran.