หลักเกณฑ์การรักษาความปลอดภัยของข้อมูล

บทนำ

Stripe เป็นบริษัทเทคโนโลยีที่มีเป้าหมายเพื่อเพิ่ม GDP บนอินเทอร์เน็ตด้วยการสร้างแพลตฟอร์มที่มีความคุ้มค่าด้านราคาเพื่อรองรับการประมวลผลการชำระเงินบนอินเทอร์เน็ต โดยให้บริการแก่ธุรกิจทุกขนาดตั้งแต่สตาร์ทอัพเปิดใหม่ไปจนถึงบริษัทมหาชนที่ใช้ Stripe เพื่อรับการชำระเงินและจัดการธุรกรรมในธุรกิจออนไลน์ของตน

เป้าหมายที่จะเป็นแพลตฟอร์มการชำระเงินบนอินเทอร์เน็ตของ Stripe ทำให้เราต้องประมวลผลข้อมูลสำคัญที่เกี่ยวข้องกับผู้ใช้และลูกค้า ด้วยเหตุนี้ Stripe จึงจำเป็นต้องปกป้องแพลตฟอร์มบริการด้านการชำระเงินและข้อมูลที่รับส่งผ่านแพลตฟอร์มนี้เพื่อสร้างความไว้วางใจให้กับผู้ใช้ของเรา

Stripe ให้ความสำคัญกับเรื่องนี้เป็นอย่างยิ่งและมุ่งมั่นที่จะสร้างวัฒนธรรมที่ให้ความสำคัญกับความปลอดภัยเป็นอันดับแรกและคงรักษาไว้

การรักษาความปลอดภัยที่ Stripe

หัวใจสำคัญในคำมั่นสัญญาที่จะรักษาความปลอดภัยของ Stripe อยู่ที่นโยบายการรักษาความปลอดภัยของข้อมูลทั่วโลก ("นโยบาย") ซึ่งระบุวิธีที่ Stripe จะปกป้องแพลตฟอร์มบริการด้านการชำระเงินและข้อมูล

นโยบายนี้จะได้รับการตรวจสอบทบทวนทุกปีโดยผู้บริหารระดับอาวุโสของฝ่ายการรักษาความปลอดภัยของข้อมูลและคณะกรรมการ

นโยบายการรักษาความปลอดภัยของข้อมูล Stripe ประกอบด้วยหลักการรักษาความปลอดภัยที่สำคัญดังต่อไปนี้

  • การรักษาความลับ: เพื่อให้มั่นใจว่าบริษัทหรือบุคคลที่ไม่ได้รับอนุญาตจะไม่สามารถเข้าถึงหรือเปิดเผยข้อมูลได้
  • ความถูกต้อง: เพื่อให้มั่นใจว่าข้อมูลจะไม่ได้รับการปรับเปลี่ยนอย่างไม่เหมาะสม ปกป้องความถูกต้องและเที่ยงตรงของข้อมูล และ
  • ความพร้อมใช้งาน: เพื่อให้มั่นใจว่าข้อมูลพร้อมใช้งานสำหรับบุคคลที่ได้รับอนุญาตเมื่อใดก็ตามที่จำเป็น

วัตถุประสงค์

เราได้จัดทำและใช้งานโปรแกรมการรักษาความปลอดภัยของข้อมูลอันเข้มงวดซึ่งมุ่งเน้นไปที่ผู้คน กระบวนการ และแพลตฟอร์มของบริษัท เพื่อการปฏิบัติตามนโยบายและเพื่อบรรลุเป้าหมายการรักษาความปลอดภัยให้ข้อมูลของ Stripe

โปรแกรมการรักษาความปลอดภัยของ Stripe ประกอบไปด้วยการควบคุมเพื่อรับมือกับปัญหาต่อไปนี้

ผู้คน - พนักงานทุกคนของ Stripe ควรมีส่วนช่วยสนับสนุนเป้าหมายการให้ความสำคัญกับการรักษาความปลอดภัยเป็นอันดับแรกของ Stripe บริษัทมุ่งมั่นเตรียมความพร้อมให้ทีมงานเพื่อสนับสนุนความคาดหวังเหล่านี้โดยการฝึกอบรมและสร้างความตระหนักรู้เพื่อให้ทุกคนรับทราบเกี่ยวกับเหตุการณ์และความเสี่ยงด้านความปลอดภัย โดยบริษัทได้จัดเตรียมการควบคุมดังนี้
- ผู้นำและทีมด้านการรักษาความปลอดภัยของข้อมูลโดยเฉพาะ
- โปรแกรมจัดการความเสี่ยงด้านเทคโนโลยี
- การตรวจสอบภูมิหลังของพนักงาน
- โปรแกรมสร้างความตระหนักด้านการรักษาความปลอดภัย
- หลักเกณฑ์และแนวทางการเขียนโค้ดที่ปลอดภัยซึ่งจัดทำเป็นเอกสาร

กระบวนการ - Stripe ได้กำหนดกระบวนการในธุรกิจเพื่อให้มั่นใจว่าจะบรรลุวัตถุประสงค์ด้านการรักษาความปลอดภัยของข้อมูล โดยใช้ระบบจัดการการรักษาความปลอดภัย การพัฒนาที่ปลอดภัย และการปฏิบัติงานด้านการรักษาความปลอดภัย กระบวนการเหล่านี้ได้แก่
- กระบวนการด้านสิทธิ์เข้าถึงของผู้ใช้ที่สนับสนุนแนวคิดการให้สิทธิ์เฉพาะที่จำเป็น
- คู่มือการพัฒนาที่เป็นทางการซึ่งผสานการวิเคราะห์และการทดสอบด้านความปลอดภัย
- กระบวนการจัดการช่องโหว่
- การปกป้องจากมัลแวร์
- กระบวนการตรวจสอบดูแลและแจ้งเตือนด้านความปลอดภัย
- การประเมินความเสี่ยงด้านความปลอดภัยโดยบุคคลภายนอก
- การตอบสนองและการจัดการเหตุการณ์

แพลตฟอร์ม - โครงสร้างพื้นฐานด้านการผลิตของ Stripe ออกแบบมาให้รองรับระบบที่มีความปลอดภัยและพร้อมใช้งานสูงเพื่อให้มั่นใจว่าบริการของ Stripe จะได้รับการปกป้องและพร้อมใช้ในการตอบสนองความต้องการของลูกค้า แพลตฟอร์มของ Stripe มีองค์ประกอบดังต่อไปนี้
- ผู้ให้บริการโครงสร้างพื้นฐานบนคลาวด์ในฐานะบริการ (IAAS) สำหรับการใช้งานในระดับอุตสาหกรรม
- โครงสร้างพื้นฐานที่ทนทานต่อภัยพิบัติซึ่งกระจายอยู่ในศูนย์ข้อมูลหลายแห่ง
- กระบวนการพัฒนาระบบที่ใช้งานโดยอัตโนมัติเพื่อให้มั่นใจว่ามีการสร้างระบบที่ปลอดภัยอย่างสอดคล้องกัน
- การสำรองข้อมูล
- การเชื่อมต่อเครือข่ายที่เข้าระบบทั้งภายในและภายนอก

การปฏิบัติตามข้อกำหนดด้านการรักษาความปลอดภัยข้อมูล

ในฐานะผู้ประมวลผลธุรกรรมการชำระเงิน Stripe จะต้องปฏิบัติตามมาตรฐานข้อกำหนดทั่วโลกและมาตรฐานอุตสาหกรรมมากมาย ดังนั้นจึงสร้างโปรแกรมการปฏิบัติตามข้อกำหนดด้านการรักษาความปลอดภัยซึ่งจะทำการระบุ ติดตาม และสนับสนุนข้อกำหนดด้านการรักษาความปลอดภัยข้อมูลจำนวนมากที่บริษัทต้องปฏิบัติตามเพื่อช่วยในการจัดการหน้าที่ความรับผิดชอบเหล่านี้ โดยโปรแกรมดังกล่าวของ Stripe ได้รับและคงรักษาการรับรองจากบุคคลที่สามดังต่อไปนี้
- การรับรอง PCI DSS ระดับที่ 1
- เครื่องหมายรับรอง SOC2 ประเภท 2
- การรับรองการรักษาความปลอดภัยทางไซเบอร์ที่จำเป็น - สหราชอาณาจักร

การรับรองและเครื่องหมายรับรองเหล่านี้มีการตรวจสอบทุกปี และลูกค้าของ Stripe สามารถขอดูผลตรวจสอบได้