はじめに - 安全性へのこだわり
Wix.com Ltd は、世界中に2億人以上のユーザーを抱えているクラウドベースの主要なウェブ開発プラットフォームです。当社は、セキュリティを最優先事項の1つとして位置付けており、すべての事業部門で最高レベルのセキュリティプロセスと慣行を実施するよう努力しています。ユーザーの個人データを保護するというこの目標を確実に達成するために、当社は、プラットフォームの安全性を確保するために最大限の力で取り組んでいます。
本文書では、ネットワーク、インフラストラクチャ、および運用サービスを安全かつ許容範囲内で使用するための情報セキュリティポリシーの概要について詳しく説明します。
本ホワイトペーパーでは、セキュリティとコンプライアンスに対する Wix.com Ltd のアプローチについて説明します。
コンプライアンスと認定 - データの保護
![PCI](https://static.wixstatic.com/media/9a25f2_5c74cb90c4324151bf91e61cedc779d9~mv2.png/v1/fill/w_105,h_105,al_c,q_85,usm_0.66_1.00_0.01,enc_avif,quality_auto/002.png)
![ISO 27001](https://static.wixstatic.com/media/9a25f2_56623833516e46f48a4b9180f81a6c77~mv2.png/v1/fill/w_102,h_102,al_c,q_85,usm_0.66_1.00_0.01,enc_avif,quality_auto/Bitmap%20Copy.png)
![ISO 2708](https://static.wixstatic.com/media/9a25f2_80dc901f02dc4b31b6b519ecd2d851c2~mv2.png/v1/fill/w_116,h_115,al_c,q_85,usm_0.66_1.00_0.01,enc_avif,quality_auto/Bitmap%20Copy%202.png)
![CCPAS](https://static.wixstatic.com/media/9a25f2_14fd0bd9b9df432db45dcac50659b30d~mv2.png/v1/fill/w_100,h_101,al_c,q_85,usm_0.66_1.00_0.01,enc_avif,quality_auto/Bitmap.png)
![GDPR](https://static.wixstatic.com/media/9a25f2_4a874e2f960b4ecfb3575f3d536ae7e3~mv2.png/v1/fill/w_105,h_102,al_c,q_85,usm_0.66_1.00_0.01,enc_avif,quality_auto/001.png)
PCI レベル1のマーチャント & サービスプロバイダー
PCI DSS は、クレジットカードによる支払に応じる組織にとって最高の情報セキュリティ基準です。この基準は、オンライン取引を完了するために使用されるカードのデータのプライバシーと機密性を保護するものです。
ISO 27001
Wix.com Ltd は、毎年監査を受けており、ISO 27001 に準拠していると認定されています。ISO 27001 認証は、セキュリティリスクを管理するための業界のベストプラクティスの概要を示しています。
ISO 27018
Wix.com Ltd は、監査を受け、ISO 27018 の認証を取得しました。ISO 27018 認証は、パブリッククラウドコンピューティング環境で個人情報(PII)を処理するための業界のベストプラクティスの概要を示しています。
GDPR
GDPR は、2018 年 5 月 25 日に発効した欧州連合のプライバシー法規です。GDPR は、個人データと企業が個人データを使用する方法に関する個人の権利を保護します。
当社は、GDPR に準拠するために、専門家チームと継続的に協力して、製品、サービス、ドキュメントに必要な調整を行いました。これにより、Wix の顧客は、個人データをより詳細に管理し、Wix サイトへの訪問者の情報を保護するために必要なツールを入手できます。
Wix.com Ltd がユーザーデータを処理する方法および個人情報に関連する権利を行使する方法の詳細については、Wix.com Ltd のプライバシーポリシーを参照してください。
CCPA
カリフォルニア州消費者プライバシー法(CCPA)は、世界中の企業がカリフォルニア州居住者の個人情報(PI)を処理する方法を規制している、州全体に適用されるデータプライバシー法です。
州法は、「アクセス権」、「削除権」、「個人情報提供を制限する権利」を含む(しかし、これらに限定されない)特別権を提供することにより、プライバシー権利と消費者保護を強化することを目的としています。
当社は、GDPR と同様に、CCPA に準拠するために、専門家チームと継続的に協力して、製品、サービス、ドキュメントに必要な調整を行いました。
多層防御 - 最高水準のセキュリティ
Wix.com Ltd は、増大するセキュリティ上の要求と問題に対応するために、多層制御を使用して、インフラストラクチャを保護し、アプリケーション、システム、プロセスを絶えず監視および改善しています。
アプリケーションレベルのセキュリティ
脅威モデリング
Wix.com Ltd のウェブ制作プラットフォームにリリースされたすべての新機能は、脅威モデル方法として STRIDE を使用して、厳重な監視の下でセキュリティ検討を受けます。当社は、ソフトウェア開発方法論の一環として、各機能をテストして、厳しいセキュリティ基準を満たし、悪用されにくいことを確認しています。
ペネトレーションテスト(侵入テスト)
当社は、専門のセキュリティ研究チームを採用して、プラットフォームのセキユリテイ保護体制を定期的にテストしています。また、外部のセキュリティ専門家による外部 PT を日常的に実施しています。PT で発見されたすべての問題は、研究開発チームに報告され、迅速に対策が講じられます。
OWASP
当社の開発チームは、OWASP の安全なコーディング慣行に従っています。
暗号化
Wix.com Ltd は、実証された暗号化アルゴリズムとプロトコルを使用して、転送中のデータまたは保存中のデータを保護します。
バグ報奨金プログラム - システムの改善
Wix.com Ltd は、フリーランスのセキュリティ専門家を当社のアクティブな HackerOne アカウントに招待して、当社のシステムをハッキングさせているため、システムを絶えず改善および強化することができます。当社の報奨金プログラムは、次のような変種ドメイン上に存在する、動的スコープを持つセキュリティの脆弱性を対象にしています。
-
XSS攻撃
-
CSRF攻撃
-
SQLインジェクションの脆弱性
-
DNSハイジャック
-
セッションの脆弱性
-
セキュリティ対策が施されていないAPI
-
認証のスプーフィング
こちらからHackerOneアカウントにアクセスできます。
ハイエンドフィジカルセキュリティ
当社の実稼働環境は、物理的制御、環境管理、ホスティング管理に関する最高の業界標準に準拠しています。
Wixは、クラウドベースの DC プロバイダーである AWS と Google のクラウドプラットフォームによってホストされています。Equinix は、すべての物理的なコロケーションサービスを提供します。これらのインフラストラクチャプロバイダーは、次のような業界標準のセキュリティ認証を維持しています。
-
ISO 27001
-
ISO 27017
-
ISO 27018
-
SOC 1
-
SOC 2
-
SOC 3
-
PCI DSSレベル1
プロバイダーのセキュリティ管理について詳しくは、AWS、GCP、Equinix のウェブサイトをご覧ください。
ネットワークセキュリティ - さらなる保護層
-
TLS 1.2
Wix.com Ltd が作成したすべての新しいサイトでは、Wix.com Ltd が提供する基本サービスの一部として HTTPS が自動的に有効になっています。すべての重要なインターフェースと機能、つまり、ユーザー認証、支払取引(PCIデータ)、PII関連のプロセスには、最新バージョンの TLS を使用してのみアクセスできます。Wix.com Ltd は、最低バージョンとして1.2 の TLS を公式にサポートしています。
-
監視
Wix.com Ltd の SOC 24/7/365 監視プログラムは、内部ネットワークトラフィック、システム上での従業員操作、脆弱性に関する外部の知識から収集された情報に焦点を当てています。トラフィックをキャプチャおよび解析する複数のオープンソースの商用ツールを組み合わせて使用して、分析を行っています。自動ネットワーク分析は、未知の脅威が存在する可能性がある時期を判断し、Wix.com Ltd のセキュリティ担当者にエスカレーションするのに役立ちます。ネットワーク分析は、システムログの自動分析によって補完されます。
-
脆弱性スキャナ
Wix.com Ltd の外面は動的であるため、Wix.com Ltd のすべてのクラウドおよびパブリックインターフェイスを1日2回自動的にスキャンして、脆弱性と設定ミスを探しています。
第三者サプライヤー
顧客のセキュリティ、プライバシー、機密性は当社の最優先事項です。そのため、Wix.com Ltdは、第三者ベンダーのセキュリティ慣行評価を含む審査プロセスを実施して、セキュリティ基準を満たしていることを検証しています。当社がリスクを評価すると、サプライヤーは適切なセキュリティ、機密性、プライバシー契約条件を締結しなければなりません。ベンダーが承認されると、当社のセキュリティチームは、ベンダーが標準に準拠していることを確認するために、必要に応じて年1回の検討を行います。
不正リスク管理
不正リスク管理は、当社のビジネスモデルの一部として専門家の注目を集める当社の中核業務の一部です。
商業活動と取引活動は、オンライン支払詐欺や偽のアカウントの作成など、さまざまな種類の不正行為にさらされています。
顧客によって許可されていない取引は、不正と呼ばれます。不正な取引は支払拒否につながる可能性があり、それにより商人はお金を失う可能性があります。
Wix.com Ltd の不正リスク管理プロセスは、商業活動と取引活動の両方に対する早期防止段階から運用コスト削減段階まで行われます。
Wix.com Ltd のセキュリティおよびプライバシー文化 - プライバシーバイデザイン
Wix.com Ltd のセキュリティおよびプライバシー文化 - プライバシーバイデザイン
従業員の意識とトレーニング
Wix.com Ltd の全従業員は、オリエンテーションプロセスの一環としてセキュリティトレーニングを受けます。オリエンテーションでは、新入社員は、顧客情報を保護するという当社の約束を強調する当社の行動規範に同意します。職務によっては、セキュリティの特定側面に関する追加のトレーニングが必要になる場合があります。例えば、情報セキュリティチームは、安全なコーディング慣行、製品設計、自動脆弱性テストツールなどのトピックについて新しいエンジニアに教えます。
セキュリティチームは、新たな脅威、フィッシング意識向上キャンペーン、その他の業界関連のセキュリティトピックなどのトピックを取り上げるために、定期的にすべての従業員と連絡を取り合っています。
専門のセキュリティチーム
Wix.com Ltd は、情報、アプリケーション、ネットワークセキュリティの専門家であるセキュリティおよびプライバシーの専門家を採用しています。チームは、会社の防御システムの管理、セキュリティ検討プロセスの開発、セキュリティインフラストラクチャの構築、会社のセキュリティポリシーの実施を担当しています。
専門のセキュリティチームは、セキュリティ脅威を積極的にスキャンし、侵入テストを行い、品質保証(QA)対策とソフトウェアセキュリティ検討を実施します。
Wix.com Ltd の社内情報セキュリティチームのメンバーは、ネットワーク、システム、サービスのセキュリティ計画を検討します。また、Wix.com Ltd の製品および技術チームにプロジェクト固有のコンサルティングサービスを提供します。Wix.com Ltd のネットワークでの疑わしい活動を監視し、情報セキュリティ脅威に対処し、日常的にセキュリティ評価と監査を行うと同時に、外部の専門家にセキュリティ評価を参加させます。
Wix.comLtdのセキュリティに関して他にご不明な点がございましたら、security-report@Wix.comまでお問い合わせください。
Wix.com Ltd は、2億人を超える
ユーザーと企業にサービスを提供してお
り、 セキュリティおよびプライバシー、機
密性を 最優先事項と認識しています。