Stripe เป็นบริษัทเทคโนโลยีที่มีเป้าหมายเพื่อเพิ่ม GDP บนอินเทอร์เน็ตด้วยการสร้างแพลตฟอร์มที่มีความคุ้มค่าด้านราคาเพื่อรองรับการประมวลผลการชำระเงินบนอินเทอร์เน็ต โดยให้บริการแก่ธุรกิจทุกขนาดตั้งแต่สตาร์ทอัพเปิดใหม่ไปจนถึงบริษัทมหาชนที่ใช้ Stripe เพื่อรับการชำระเงินและจัดการธุรกรรมในธุรกิจออนไลน์ของตน
เป้าหมายที่จะเป็นแพลตฟอร์มการชำระเงินบนอินเทอร์เน็ตของ Stripe ทำให้เราต้องประมวลผลข้อมูลสำคัญที่เกี่ยวข้องกับผู้ใช้และลูกค้า ด้วยเหตุนี้ Stripe จึงจำเป็นต้องปกป้องแพลตฟอร์มบริการด้านการชำระเงินและข้อมูลที่รับส่งผ่านแพลตฟอร์มนี้เพื่อสร้างความไว้วางใจให้กับผู้ใช้ของเรา
Stripe ให้ความสำคัญกับเรื่องนี้เป็นอย่างยิ่งและมุ่งมั่นที่จะสร้างวัฒนธรรมที่ให้ความสำคัญกับความปลอดภัยเป็นอันดับแรกและคงรักษาไว้
หัวใจสำคัญในคำมั่นสัญญาที่จะรักษาความปลอดภัยของ Stripe อยู่ที่นโยบายการรักษาความปลอดภัยของข้อมูลทั่วโลก ("นโยบาย") ซึ่งระบุวิธีที่ Stripe จะปกป้องแพลตฟอร์มบริการด้านการชำระเงินและข้อมูล
นโยบายนี้จะได้รับการตรวจสอบทบทวนทุกปีโดยผู้บริหารระดับอาวุโสของฝ่ายการรักษาความปลอดภัยของข้อมูลและคณะกรรมการ
นโยบายการรักษาความปลอดภัยของข้อมูล Stripe ประกอบด้วยหลักการรักษาความปลอดภัยที่สำคัญดังต่อไปนี้
เราได้จัดทำและใช้งานโปรแกรมการรักษาความปลอดภัยของข้อมูลอันเข้มงวดซึ่งมุ่งเน้นไปที่ผู้คน กระบวนการ และแพลตฟอร์มของบริษัท เพื่อการปฏิบัติตามนโยบายและเพื่อบรรลุเป้าหมายการรักษาความปลอดภัยให้ข้อมูลของ Stripe
โปรแกรมการรักษาความปลอดภัยของ Stripe ประกอบไปด้วยการควบคุมเพื่อรับมือกับปัญหาต่อไปนี้
ผู้คน - พนักงานทุกคนของ Stripe ควรมีส่วนช่วยสนับสนุนเป้าหมายการให้ความสำคัญกับการรักษาความปลอดภัยเป็นอันดับแรกของ Stripe บริษัทมุ่งมั่นเตรียมความพร้อมให้ทีมงานเพื่อสนับสนุนความคาดหวังเหล่านี้โดยการฝึกอบรมและสร้างความตระหนักรู้เพื่อให้ทุกคนรับทราบเกี่ยวกับเหตุการณ์และความเสี่ยงด้านความปลอดภัย โดยบริษัทได้จัดเตรียมการควบคุมดังนี้
- ผู้นำและทีมด้านการรักษาความปลอดภัยของข้อมูลโดยเฉพาะ
- โปรแกรมจัดการความเสี่ยงด้านเทคโนโลยี
- การตรวจสอบภูมิหลังของพนักงาน
- โปรแกรมสร้างความตระหนักด้านการรักษาความปลอดภัย
- หลักเกณฑ์และแนวทางการเขียนโค้ดที่ปลอดภัยซึ่งจัดทำเป็นเอกสาร
กระบวนการ - Stripe ได้กำหนดกระบวนการในธุรกิจเพื่อให้มั่นใจว่าจะบรรลุวัตถุประสงค์ด้านการรักษาความปลอดภัยของข้อมูล โดยใช้ระบบจัดการการรักษาความปลอดภัย การพัฒนาที่ปลอดภัย และการปฏิบัติงานด้านการรักษาความปลอดภัย กระบวนการเหล่านี้ได้แก่
- กระบวนการด้านสิทธิ์เข้าถึงของผู้ใช้ที่สนับสนุนแนวคิดการให้สิทธิ์เฉพาะที่จำเป็น
- คู่มือการพัฒนาที่เป็นทางการซึ่งผสานการวิเคราะห์และการทดสอบด้านความปลอดภัย
- กระบวนการจัดการช่องโหว่
- การปกป้องจากมัลแวร์
- กระบวนการตรวจสอบดูแลและแจ้งเตือนด้านความปลอดภัย
- การประเมินความเสี่ยงด้านความปลอดภัยโดยบุคคลภายนอก
- การตอบสนองและการจัดการเหตุการณ์
แพลตฟอร์ม - โครงสร้างพื้นฐานด้านการผลิตของ Stripe ออกแบบมาให้รองรับระบบที่มีความปลอดภัยและพร้อมใช้งานสูงเพื่อให้มั่นใจว่าบริการของ Stripe จะได้รับการปกป้องและพร้อมใช้ในการตอบสนองความต้องการของลูกค้า แพลตฟอร์มของ Stripe มีองค์ประกอบดังต่อไปนี้
- ผู้ให้บริการโครงสร้างพื้นฐานบนคลาวด์ในฐานะบริการ (IAAS) สำหรับการใช้งานในระดับอุตสาหกรรม
- โครงสร้างพื้นฐานที่ทนทานต่อภัยพิบัติซึ่งกระจายอยู่ในศูนย์ข้อมูลหลายแห่ง
- กระบวนการพัฒนาระบบที่ใช้งานโดยอัตโนมัติเพื่อให้มั่นใจว่ามีการสร้างระบบที่ปลอดภัยอย่างสอดคล้องกัน
- การสำรองข้อมูล
- การเชื่อมต่อเครือข่ายที่เข้าระบบทั้งภายในและภายนอก
ในฐานะผู้ประมวลผลธุรกรรมการชำระเงิน Stripe จะต้องปฏิบัติตามมาตรฐานข้อกำหนดทั่วโลกและมาตรฐานอุตสาหกรรมมากมาย ดังนั้นจึงสร้างโปรแกรมการปฏิบัติตามข้อกำหนดด้านการรักษาความปลอดภัยซึ่งจะทำการระบุ ติดตาม และสนับสนุนข้อกำหนดด้านการรักษาความปลอดภัยข้อมูลจำนวนมากที่บริษัทต้องปฏิบัติตามเพื่อช่วยในการจัดการหน้าที่ความรับผิดชอบเหล่านี้ โดยโปรแกรมดังกล่าวของ Stripe ได้รับและคงรักษาการรับรองจากบุคคลที่สามดังต่อไปนี้
- การรับรอง PCI DSS ระดับที่ 1
- เครื่องหมายรับรอง SOC2 ประเภท 2
- การรับรองการรักษาความปลอดภัยทางไซเบอร์ที่จำเป็น - สหราชอาณาจักร
การรับรองและเครื่องหมายรับรองเหล่านี้มีการตรวจสอบทุกปี และลูกค้าของ Stripe สามารถขอดูผลตรวจสอบได้