Seguridad de GoFundMe

GoFundMe se toma muy en serio la seguridad. A continuación describimos las prácticas de seguridad que hemos implementado para proteger los datos.

Seguridad organizativa

El programa de seguridad de GoFundMe está alineado con las Funciones del Marco sobre Seguridad NIST y una combinación de controles de NIST 800-53, CIS CSC Top 20 y el Estándar para la Seguridad de Datos de la Industria de Pagos con Tarjeta de Crédito (PCI, por sus siglas en inglés).

Auditorías y evaluaciones de empresas externas sobre el cumplimiento de normativas

Auditorías: anualmente, GoFundMe contrata a asesores externos para auditar su cumplimiento de los requisitos de PCI.

Pruebas continuas: GoFundMe contrata a testers para realizar pruebas de detección y penetración de nivel de aplicaciones y de nivel de red, así como de detección de vulnerabilidades.

Ciclo de vida de desarrollo del software

El ciclo de desarrollo del software de GoFundMe está totalmente integrado con nuestra organización y estrategia de seguridad. La evaluación de riesgos de los proyectos de software se basa en los 10 principales tipos de ataque de OWASP. Usamos como guía los principios de codificación segura y nuestros desarrolladores reciben formación continua sobre cómo programar de forma segura. Los análisis de código estático, código dinámico y composición del software se realizan en varias fases del ciclo de desarrollo del software. Todo el código está sometido a control de versiones y pasa por una revisión, integración y pruebas tanto funcionales como de control de calidad por parte de otros desarrolladores ("peer review").

Cómo protegemos los datos de los clientes

GoFundMe toma varias medidas para proteger los datos de los clientes. Es una labor colectiva para identificar y mitigar los riesgos e implementar las mejores prácticas.

Cifrado de datos para su transferencia

Los datos que se envían al sitio web de GoFundMe y se transmiten por redes públicas/abiertas van cifrados. Se utilizan protocolos TLS versión 1.2+ y un algoritmo criptográfico AES de 256 bits. El equipo de seguridad monitoriza constantemente los cambiantes estándares de cifrado, hace recomendaciones e implementa cambios en caso necesario.

Cifrado de datos en reposo

Utilizamos el algoritmo criptográfico AES de 256 bits aprobado por FIPS para cifrar conjuntos de datos en reposo.

Servicio de alojamiento en infraestructuras seguras

La infraestructura de GoFundMe está alojada en Amazon Web Services. AWS mantiene varias certificaciones para sus centros de datos, que incluyen el cumplimiento de la norma ISO 27001 y la certificación PCI DSS. Para obtener más información sobre su certificación y cumplimiento, por favor, visita el sitio web de seguridad de AWS.

 

Recuperación en caso de desastre

GoFundMe utiliza servicios de AWS, como AWS Cloudfront CDN, AWS Application Load Balancing o AWS Availability Zones, para distribuir su entorno de producción en diferentes ubicaciones físicas. Hacemos esto para proteger los servicios de GoFundMe de pérdidas de conectividad, cortes de alimentación y otros fallos que puedan producirse en un lugar específico. La alta disponibilidad está integrada en la infraestructura de GoFundMe. Además, la infraestructura se configura mediante código y sistemas de administración de configuraciones. Esto permite restaurar rápidamente cualquier infraestructura que falle. Se realizan copias de seguridad completas e incrementales para conservar infraestructuras y datos críticos.

Conformidad y certificaciones

GoFundMe no almacena datos de titulares de tarjetas tal y como se define en el estándar de seguridad de datos de PCI; no obstante, GoFundMe ha alcanzado el nivel más alto de cumplimiento del estándar de PCI como proveedor de servicios que cumple con el Nivel 1 de PCI DSS. GoFundMe es una empresa auditada anualmente por un asesor de seguridad independiente certificado por PCI y cumple todos los requisitos del estándar de seguridad de datos de PCI. GoFundMe figura en el sitio web del Registro global de proveedores de servicios de Visa. Si lo deseas, puedes solicitar que se te envíe la certificación que atestigua el cumplimiento de la normativa PCI por parte de GoFundMe.

Programa de recompensas por la notificación de errores y vulnerabilidades

GoFundMe dispone de un programa de recompensas por la notificación de errores y vulnerabilidades. Si crees haber descubierto posibles vulnerabilidades de seguridad en GoFundMe, te invitamos a que nos las notifiques lo antes posible. Con la ayuda de BugCrowd, GoFundMe ha puesto en marcha un programa privado de recompensas por descubrir errores. Los investigadores pueden optar a recibir un pago por descubrir vulnerabilidades o errores no conocidos hasta el momento. Quienes no participen en el programa también pueden enviar un error o vulnerabilidad de la seguridad a GoFundMe a través de BugCrowd completando para ello el formulario al final de esta página.

Todos los errores o vulnerabilidades de seguridad que se envíen estarán sujetos a los términos y condiciones de GoFundMe. Al enviarnos estos errores o vulnerabilidades, aceptas que no podrás divulgar públicamente lo que hayas descubierto ni el contenido que nos hayas enviado a ningún tercero sin la aprobación previa por escrito de GoFundMe.

Vulnerabilidades excluidas del programa de recompensas

  1. DoS/DDoS
  2. Informes de spam
  3. Ingeniería social
  4. Informes no confirmados de detectores de vulnerabilidades automatizados
  5. Divulgación de números de versión de servidor o software
  6. Adquisiciones hipotéticas de subdominios (“sub-domain takeovers”) sin pruebas fehacientes
  7. Invalidación de sesiones u otras funciones se seguridad mejoradas relacionadas con la administración de cuentas cuando ya se conoce una credencial (por ejemplo, el enlace de restablecimiento de contraseña no caduca inmediatamente, la incorporación de MFA no hace que caduquen otras sesiones, etc.)
  8. Vulnerabilidades percibidas en el ámbito de la seguridad sin pruebas concretas de su capacidad para poner en peligro a un usuario (por ejemplo, falta de límites de velocidad, falta de encabezados, etc.)
  9. Informes sobre la explotación del comportamiento de, o las vulnerabilidades en, navegadores obsoletos
  10. Enumeración de usuarios/vendedores
  11. Informes de mejores prácticas sin una explotación válida (por ejemplo, el uso de cifrados TLS “débiles”)
  12. Divulgación de archivos o directorios públicos conocidos (por ejemplo, robots.txt)
  13. Sugerencias de configuración de extensiones de seguridad para DNS (DNSSEC)
  14. Divulgación de banners sobre servicios comunes/públicos
  15. Falta de indicadores Seguros/HTTPOnly en cookies no confidenciales
  16. Presencia de la funcionalidad ‘autocompletar’ o ‘guardar contraseña’ en aplicaciones o navegadores web
  17. Sugerencias de configuración de Sender Policy Framework (SPF)
  18. CSRF
  19. Formulario de contacto
  20. Mensajes

Ámbito (“scope”)

Dentro del ámbito

  • gofundme.com
  • api.gofundme.com
  • funds.gofundme.com
  • gateway.gofundme.com

Fuera del ámbito

  • happiness.gofundme.com
  • Charity.gofundme.com
  • Charitysupport.gofundme.com
  • Charitysandbox.gofundme.com
  • fastly.gofundme.com
  • support.gofundme.com
  • community.gofundme.com

Envía aquí los errores que encuentres