Proteção e Segurança de dados

Segurança Física

A Appy Pie tem seu centro de desenvolvimento em NSEZ, Noida (Índia) e escritórios de vendas/ suporte em Warrenton, Virgínia (EUA) e Londres (Reino Unido) e Noida (Índia). Sendo uma organização responsável e respeitada, estamos extremamente atentos para proteger nossos dados e manter os dados de nossos clientes seguros. Os funcionários da organização só recebem acesso ao escritório após autorização usando cartões inteligentes e as áreas sensíveis do escritório podem ser acessadas somente por pessoal autorizado.

O escritório está equipado com câmeras de vigilância e suas filmagens são monitoradas periodicamente por pessoal autorizado. Alarmes de incêndio e aspersores de água estão no lugar para detectar e mitigar os danos no improvável evento de um incêndio. Além disso, treinamentos regulares de incêndio são conduzidos pela equipe de gerenciamento das instalações para instruir os funcionários sobre os procedimentos de evacuação de emergência. O escritório é equipado com fonte de alimentação 24×7, suportada por um sistema alternativo ininterrupto de fornecimento de energia para garantir um funcionamento suave em caso de falha de energia.

Segurança de Aplicativos

Todos os aplicativos do Appy Pie são criados e hospedados no Amazon Web Services e a infraestrutura para bancos de dados e servidores de aplicativos é gerenciada e mantida pela Amazon.

A primeira camada de proteção para o aplicativo é fornecida pelo firewall da AWS, que é equipado para combater ataques DDoS regulares e outras intrusões relacionadas à rede. A segunda camada de proteção é oferecida pelo próprio firewall de aplicativos do Appy Pie, que monitora IPs ofensivos, usuários e spam. Vale a pena notar que todas as senhas de contas armazenadas no aplicativo são unidirecionais e salgadas.

O Appy Pie usa um modelo de dados multilocatário para hospedar todos os seus aplicativos. É através de uma nuvem privada virtual individual que o Appy Pie atende a cada aplicativo em que um ID único de inquilino é atribuído a cada cliente. A aplicação é projetada e verificada para garantir que apenas os dados para o inquilino que está logado possam ser buscados. É esse design estratégico que garante que nenhum cliente possa acessar os dados de outro cliente. O acesso ao aplicativo pela equipe de desenvolvimento de aplicativos também é controlado, gerenciado e auditado. Cada vez que o aplicativo e a infraestrutura são acessados, um log detalhado é criado e, em seguida, é auditado subseqüentemente.

Segurança de Dados

A proteção e segurança dos dados dos clientes é um assunto sério para a Appy Pie, portanto, eles gerenciam a segurança de seus aplicativos e os dados dos clientes com sinceridade e responsabilidade. No entanto, o fornecimento e o gerenciamento de acesso de aplicativos individuais criados usando a plataforma ficam a critério dos proprietários de aplicativos individuais.

A equipe de desenvolvimento do Appy Pie não tem acesso a dados em servidores de produção, no entanto, quaisquer alterações nos processos de aplicativo, infraestrutura, conteúdo da Web e implantação são documentadas extensivamente como parte de um processo interno de controle de alterações.

Nossa plataforma coleta informações limitadas sobre nossos clientes, incluindo nome, endereço de e-mail e telefone, e esses detalhes são retidos apenas para criação de contas. Stripe, o processador de pagamento compatível com PCI da Appy Pie para solicitações de faturamento e retém o endereço postal dos clientes, juntamente com a data de vencimento do cartão de crédito e do CVV.

A Appy Pie leva muito a sério a integridade e a proteção dos dados dos clientes e mantém dois tipos de histórico de dados: registros de aplicativos do sistema e dados do aplicativo e dos clientes. Todos esses dados são armazenados na plataforma de computação em nuvem de última geração da Amazon, e os backups são feitos a cada cinco minutos em vários locais.

Os logs de aplicativos são mantidos por um período de 90 dias e os dados dos clientes são copiados de duas maneiras:

  • Um backup contínuo é mantido em diferentes datacenters no caso de um failover do sistema no datacenter principal. É devido ao backup robusto, que no caso de uma catástrofe improvável em qualquer um dos datacenters, nossos clientes perderiam apenas cinco minutos de dados.

  • O backup dos dados é feito para armazenamento persistente todos os dias e mantido por sete dias.

Na Europa e nos Estados Unidos, os padrões AES de 256 bits (intensidade da chave – 1024) são usados para criptografar os dados em repouso, com o AWS Key Management Service gerenciando as chaves. A criptografia padrão FIPS-140-2 em uma conexão de soquete seguro é usada para criptografar todos os dados em trânsito, para todas as contas hospedadas em appypie.com. Além disso, existe uma opção disponível para as contas hospedadas em domínios independentes, que permite uma conexão de soquete seguro.

Diversos ambientes são utilizados para fins de desenvolvimento e testes, um sistema de gerenciamento rigoroso para o acesso aos sistemas está em vigor sobre a necessidade de fazer / saber base de acordo com a classificação da informação, onde a Segregação de Deveres é embutida, e revisada em uma base trimestral.

Exclusão de Dados

Após a exclusão de uma conta, todos os dados associados a ela são destruídos no prazo de 14 dias úteis. Se, no entanto, um titular de conta quiser o backup de seus dados, os produtos Appy Pie oferecem opções de exportação de dados.

Relatar problemas e ameaças

No caso de você encontrar algum problema, incidentes de segurança (como violações e possíveis vulnerabilidades) ou falhas que possam afetar a segurança ou a privacidade dos usuários do Appy Pie, entre em contato conosco e escreva para security@appypie.com citando o seu preocupações e detalhes, para que possamos trabalhar nisso o mais rapidamente possível.

Sua solicitação será examinada imediatamente, onde poderemos entrar em contato com você e solicitar sua orientação para identificar ou replicar a questão e determinar os meios ou planejar estratégias para resolver a ameaça imediatamente.

A empresa tem uma política de privacidade, aprovada por um conselho jurídico interno, disponível publicamente em https://www.appypie.com/terms-of-use-privacy-policy (versão em português em https://pt.appypie.com/termos-uso-politica-privacidade) e o gateway de pagamento (Stripe) usado pela Appy Pie é compatível com PCI .

Conformidade Regulatória

Todos os processos formais e padrões de segurança da Appy Pie são formulados para atender aos regulamentos em vários níveis, incluindo os níveis industrial, estadual, federal e internacional. A Appy Pie recebeu o cobiçado Selo de Privacidade da TRUSTe, o que significa que nossa política e práticas de privacidade foram revisadas pela TRUSTe para conformidade com os requisitos do programa TRUSTe e os Requisitos do Programa de Nuvem TRUSTe, incluindo transparência, responsabilidade e escolha em relação à coleta e uso de pessoal em formação. O programa TRUSTe abrange apenas as informações coletadas por meio de nossos sites e plataformas. Seguindo os princípios definidos na estrutura de safe harbor, o Appy Pie adere a políticas rígidas de segurança, acesso, integridade e muito mais. O processador de pagamento de terceiros usado pela Appy Pie é compatível com PCI, o que garante que os dados do cartão de crédito sejam armazenados e processados de maneira segura.

Os clientes que utilizam nossos serviços no Espaço Econômico Europeu (EEA) processariam dados/informações pessoais de seus clientes. Ao fornecer nosso serviço, não possuímos, controlamos ou direcionamos o uso das informações armazenadas ou processadas em nossa plataforma sob a direção de nossos clientes; na verdade, não temos conhecimento da maioria das informações que estão sendo armazenadas em nossa plataforma. A informação só é acessada quando é razoavelmente necessário para poder fornecer o serviço (incluindo responder a solicitações de suporte), quando autorizado por nossos clientes ou exigido por lei. Atuamos como processadores de dados para nossos clientes finais, mas como controladores de dados para os clientes dos quais coletamos dados através de nossa plataforma para fins da Diretiva da União Européia (EU) 95/46/EC sobre Proteção de Dados (“Diretiva da UE”) e a Lei Federal Suíça sobre Proteção de Dados. Nossos clientes da EEA ou da Suíça, que controlam os dados de seus clientes e os enviam à Appy Pie para processamento, são os “controladores” desses dados, portanto são eles os responsáveis ​​pela conformidade com a Diretiva. Simplificando, são os nossos clientes que são responsáveis ​​por cumprir a Diretiva e a legislação de proteção de dados relevante em seus respectivos estados membros da EEA antes de enviar qualquer informação pessoal à Appy Pie para processamento.

Em nossa função de processadores de informações pessoais em nome de nossos clientes, seguimos suas instruções para as informações que eles controlam, desde que estejam em conformidade com nossos serviços e funcionalidades. Ao fazer isso, empregamos segurança padrão do setor, tomando medidas técnicas, físicas e administrativas contra o processamento não autorizado de tais informações e contra perda, destruição ou danos a informações pessoais.

Listados abaixo estão as principais razões pelas quais a Appy Pie tem que processar dados de clientes fora da UE em conexão com a prestação de nossos serviços, particularmente:

  1. Os dados do cliente são processados ​​dentro do grupo Appy Pie, ou seja, Appy Pie LLC, Appy Pie LLP e Appy Pie Ltd.

  2. Usamos vários provedores de nuvem de terceiros como parte de nossa arquitetura para fins de registro, faturamento e monitoramento do sistema. Fornecedores de terceiros para os seguintes estão atualmente baseados em regiões fora do EEE:

  • Como o recurso de telefone não é específico da UE, os dados do telefone podem ser armazenados em qualquer lugar

  • Os provedores de serviços de recursos de bate-papo são baseados nos EUA

  • Plugins

  • Integrações de aplicativos

  • Processador de pagamento de terceiros

Trabalhamos com você para ajudá-lo a enviar avisos aos seus clientes sobre o que você planeja fazer com as informações pessoais coletadas e assinar as Cláusulas do Contrato Modelo (para processadores de dados) para legitimar as transferências de dados pessoais da UE para processadores estabelecidos em terceiros. países, conforme exigido pela Diretiva da UE.

As práticas de privacidade da Appy Pie são certificadas pela TRUSTe e estamos em conformidade com a ISO 27001: 2013. Estamos trabalhando para o atestado SSAE-16 e um relatório SOC II estará disponível em breve. Nossos datacenters são hospedados na AWS, que são compatíveis com ISO 27001, SSAE-16 e HIPAA.

A Appy Pie agora também certificou sua conformidade com o Privacy Shield UE-EUA ao Departamento de Comércio dos EUA e foi adicionada à lista de participantes do Privacy Shield autocertificados do Departamento de Comércio.

Nossos produtos incluem funcionalidades fornecidas por terceiros, que não oferecem hospedagem regional, impossibilitando restringir a transferência de dados da União Europeia, mas o Privacy Shield UE-EUA atua como uma forma de legitimar a transferência de dados para os EUA. A certificação afirma que cumprimos os princípios do Privacy Shield para a transferência de dados pessoais da União Europeia para os Estados Unidos.

Tendo cumprido os requisitos da TRUSTe, Privacy Shield Framework e ISO 27001, a plataforma foi confortavelmente configurada para que a Appy Pie trabalhasse mais com a conformidade com o GDPR e a conseguisse até o momento em que suas regulamentações entrassem em vigor.