信息安全指南

简介

Stripe 是一家科技公司,旨在通过构建支持互联网支付处理的高性价比平台来提高互联网的 GDP。从初创到上市企业,Stripe 支持使用 Stripe 的服务来接受付款并管理其在线业务交易的各种规模的公司。

Stripe 的目标是成为互联网支付平台,其中一项工作便是处理与我们的用户及其客户有关的重要信息。为了在 Stripe 及其用户之间建立信任,Stripe 保护其支付服务平台及通过该平台传输的数据的安全至关重要。

Stripe 非常重视这一点,并致力于建立和维护安全第一的文化。

Stripe 的安全性

Stripe 对安全的承诺,其核心便是其全球信息安全政策(“政策”),该政策规定了 Stripe 将如何保护其支付服务平台及其数据。

该政策每年由其高级信息安全主管和董事会审查和批准。

Stripe 的信息安全策略包含以下关键信息安全原则

  • 机密性:确保信息不会被未经授权的个人或公司访问或向其披露;
  • 完整性:确保信息不会遭到篡改,保护其准确性和完整性;以及
  • 可用性:确保授权人员在必要时可以获得信息。

目标

为了满足 Stripe 的信息安全目标和策略,Stripe 实施了一个强大的信息安全计划,该计划重点关注的是其人员、流程和平台。

Stripe 的信息安全计划中有适当的控制措施来解决以下问题:

人员 - 所有 Stripe 人员都应协助支持 Stripe 的“安全第一”这一目标。Stripe 通过提供培训和知识普及,让每个人都了解安全风险和事故,努力确保其团队做好支持这些预期的准备。设定有效控制措施,例如:
- 专门的信息安全团队和领导队伍
- 技术风险管理计划
- 人员背景调查
- 安全意识计划
- 记录的安全编码指南和方法

流程 - Stripe 定义了业务流程,以确保通过安全治理、安全开发和安全运营来实现其信息安全这一目标。这些流程包括:
- 支持最低权限概念的用户访问流程
- 整合了安全分析与测试的正式开发行动手册
- 漏洞管理流程
- 恶意软件防护
- 安全监控和警报流程
- 第三方安全风险评估
- 事故管理及响应

平台 - Stripe 的生产基础设施旨在支持安全且高可用性的系统,以确保 Stripe 的服务得到保护并且能够满足其客户的需求。Stripe 的平台包括:
- 云基础设施即服务 (IAAS) 提供商,据以实现行业优势
- 跨多个数据中心的分布式抗灾难基础设施
- 自动化利用系统开发流程,确保构建始终如一的安全系统
- 数据复制
- 内、外部加密网络连接

信息安全合规

作为支付服务商,Stripe 需遵守众多行业和全球监管标准。为了帮助管理这些合规义务,Stripe 维护着一个安全合规计划,该计划有助于识别、跟踪和支持其所面临的许多不同的信息安全要求。Stripe 的信息安全合规计划已获得第三方认证并且一直在持续维护,例如:
- PCI DSS 一级认证
- SOC2 2 类认证
- 必需的网络安全认证 - 英国

这些验证及认证每年执行一次,Stripe 的客户可以根据要求获取结果。