La sécurité chez GoFundMe

Chez GoFundMe, la sécurité est prise au sérieux. Vous trouverez ci-dessous les pratiques déployées dans le cadre de notre politique de sécurité pour sécuriser et protéger les données.

Sécurité de l’entreprise

Le programme de sécurité de GoFundMe est aligné sur les normes de cybersécurité préconisées par le NIST dans son cadre volontaire. Il repose également sur un ensemble de contrôles du NIST 800-53, les 20 contrôles du CIS CSC et les normes de sécurité des données applicables à l’industrie des cartes de paiement (PCI DSS).

Audits et évaluations de la conformité réalisés par des tiers

Les audits : chaque année, GoFundMe fait appel à des évaluateurs externes pour auditer sa conformité avec les exigences de sécurité PCI.

Tests continus : GoFundMe fait appel à des testeurs externes qui analysent les vulnérabilités de l’infrastructure et des applications et effectuent des tests de pénétration.

Cycle de vie de développement du logiciel

Notre organisation et notre stratégie en matière de sécurité sont totalement intégrées au cycle de vie de développement du logiciel GoFundMe. L’évaluation des risques liés aux projets logiciels repose sur les 10 principales menaces décrites dans le projet de sécurité des applications Web ouvertes (OWASP). Nous renforçons les principes de codage sécurisés et les développeurs sont régulièrement formés à la programmation sécurisée. Nous réalisons une analyse statique et dynamique du code ainsi qu’une analyse de la composition des logiciels à différentes étapes du cycle de leur développement. La version du code est vérifiée. Elle est passée en revue par les pairs qui effectuent par ailleurs des tests d’intégration, de fonctionnalité et d’assurance qualité.

Protection des données des clients

GoFundMe prend un certain nombre de mesures pour protéger les données des clients. Il s’agit d’une approche collaborative pour identifier et réduire les risques et mettre en œuvre les meilleures pratiques.

Chiffrement des données en transit

Les données envoyées au site Web de GoFundMe et transmises par des réseaux publics/ouverts sont chiffrées. Nous utilisons les protocoles TLS version 1.2+ et un algorithme de chiffrement AES 256 bits. L’équipe chargée de la sécurité surveille en permanence l’évolution des normes de chiffrement, émet des recommandations et met en œuvre les modifications nécessaires.

Chiffrement au repos

Nous utilisons l’algorithme de chiffrement (AES 256 bits) approuvé dans les normes FIPS lors du chiffrement des jeux de données au repos.

Service d’hébergement de l’infrastructure sécurisé

L’infrastructure de GoFundMe est hébergée par Amazon Web Services. AWS détient plusieurs certifications pour ses centres de données, notamment la conformité à la norme ISO 27001 et la certification PCI DSS. Pour plus d’informations sur leur certification et leur conformité, veuillez consulter le site web de la sécurité d’AWS.

 

Récupération d’urgence

GoFundMe utilise des services fournis par AWS, notamment AWS Cloudfront CDN (diffusion de contenu), AWS Application Load Balancing (équilibrage du trafic applicatif), AWS Availability Zones (zones de disponibilité par région) pour répartir son environnement de production sur plusieurs emplacements physiques. Ces différents emplacements physiques protègent les services de GoFundMe des pertes de connectivité, des coupures de courant et autres défaillances locales. L’infrastructure de GoFundMe est conçue sur un modèle de haute disponibilité. En outre, l’infrastructure est configurée par des systèmes de gestion de code et de configuration. Cela permet une restauration rapide de l’infrastructure en cas de défaillance. La maintenance des données critiques et de l’infrastructure est assurée par des sauvegardes complètes et incrémentielles.

Conformité et certifications

GoFundMe ne stocke pas les données des titulaires de cartes telles que définies dans la norme de sécurité des données PCI, cependant, GoFundMe a atteint le plus haut niveau de conformité PCI en tant que fournisseur de services conforme au niveau 1 de la norme PCI DSS. GoFundMe est audité chaque année par un contrôleur de sécurité qualifié PCI indépendant et se conforme à toutes les exigences de la norme de sécurité des données PCI. GoFundMe est listé sur le site web du registre mondial Visa des prestataires de services. L’attestation de conformité PCI de GoFundMe est disponible sur demande.

Programme de divulgation des vulnérabilités et de cyberdéfense participative

GoFundMe dispose d’un programme de divulgation des vulnérabilités et de cyberdéfense participative. Si vous pensez avoir détecté des failles ou des vulnérabilités potentielles dans le système de sécurité de GoFundMe, nous vous invitons à nous les communiquer le plus rapidement possible. GoFundMe maintient un programme privé de cyberdéfense participative avec le concours de BugCrowd. Les chercheurs qui détectent de nouvelles vulnérabilités validées sont indemnisés. Les personnes qui n’ont pas encore participé à ce programme peuvent toujours soumettre une faille de sécurité ou une vulnérabilité à GoFundMe via BugCrowd en remplissant le formulaire situé au bas de la page.Les conditions générales de GoFundMe s’appliquent à l’envoi des failles de sécurité et des vulnérabilités. Lorsque vous communiquez des informations, vous acceptez de ne pas divulguer publiquement vos conclusions ou le contenu de votre contribution à des tiers sans le consentement écrit préalable de GoFundMe.

Vulnérabilités non recevables

  1. Attaques DoS/DDoS
  2. Rapports de spams
  3. Piratage psychologique
  4. Rapports non confirmés provenant d’analyseurs de vulnérabilités automatisés
  5. Divulgation des numéros de version du serveur ou du logiciel
  6. Prises de contrôle hypothétiques de sous-domaines sans preuves
  7. Invalidation de session ou autre problème de sécurité améliorée en rapport avec la gestion des comptes lorsqu’un identifiant est déjà connu (par exemple, le lien de réinitialisation du mot de passe n’expire pas immédiatement, l’ajout de l’authentification multifacteur ne déclenche pas l’expiration des autres sessions, etc.)
  8. Détection de faiblesses sans preuve concrète de leur capacité à compromettre un utilisateur (par exemple, absence de limites de débit, en-têtes manquants, etc.)
  9. Rapports exploitant le comportement ou les vulnérabilités qui proviennent de versions de navigateurs obsolètes
  10. Liste d’utilisateurs, de prestataires de services
  11. Rapports de bonnes pratiques sans élément pertinent (par exemple, utilisation de chiffrements TLS « faibles »)
  12. Divulgation de fichiers ou de répertoires publics connus (par exemple, robots.txt)
  13. Suggestions de configuration des extensions de sécurité du système de noms de domaine (DNSSEC)
  14. Divulgation de bannières sur des services communs/publiques
  15. Absence de drapeaux Secure et HttpOnly sur des cookies non sensibles
  16. Présence de la fonctionnalité « saisie automatique » ou « enregistrer le mot de passe » de l’application ou du navigateur Web
  17. Suggestions de configuration SPF (Sender Policy Framework)
  18. XSRF
  19. Formulaire Nous contacter
  20. Messages

Champ d’application

Dans le champ d’application

  • gofundme.com
  • api.gofundme.com
  • funds.gofundme.com
  • gateway.gofundme.com

Hors champ

  • happiness.gofundme.com
  • Charity.gofundme.com
  • Charitysupport.gofundme.com
  • Charitysandbox.gofundme.com
  • fastly.gofundme.com
  • support.gofundme.com
  • community.gofundme.com

Soumettre les bogues ici