Sicurezza di GoFundMe

GoFundMe prende sul serio la sicurezza. Di seguito sono descritte le procedure di sicurezza che abbiamo implementato per proteggere e tenere al sicuro i dati.

Sicurezza organizzativa

Il programma di sicurezza di GoFundMe è conforme alle funzioni del NIST Cybersecurity Framework e a una combinazione di controlli NIST 800-53, CIS CSC Top 20 e PCI Data Security Standard.

Audit e valutazioni di terze parti per la conformità

Audit: ogni anno, GoFundMe richiede valutazioni esterne per verificare la propria conformità ai requisiti PCI.

Test continui: GoFundMe opera con tester esterni di scansione e penetrazione al fine di condurre test di penetrazione a livello sia di rete che di applicazione e scansioni delle vulnerabilità.

Ciclo di vita dello sviluppo software

Il ciclo di vita dello sviluppo software di GoFundMe è totalmente integrato all’interno della nostra organizzazione e strategia di sicurezza. La valutazione dei rischi associati ai progetti software si basa sulle vulnerabilità OWASP Top 10. L’importanza dei principi di codifica sicura è sempre in primo piano e gli sviluppatori sono sottoposti a una regolare formazione di codifica sicura. In varie fasi del ciclo di vita dello sviluppo software eseguiamo l’analisi del codice statico, l’analisi del codice dinamico e l’analisi della composizione del software. Tutto il codice è controllato in base alla versione, soggetto a revisioni di pari grado, integrazione, test funzionali e QA.

Come proteggiamo i dati dei clienti

GoFundMe adotta una serie di misure per proteggere i dati dei clienti. Si tratta di un importante processo collaborativo volto a identificare e mitigare i rischi nonché a implementare le best practice.

Crittografia dei dati in transito

I dati inviati al sito GoFundMe e trasmessi su reti pubbliche/aperte vengono crittografati. Vengono utilizzati i protocolli TLS versione 1.2+ e viene impiegato un algoritmo crittografico AES a 256 bit. Il team di sicurezza monitora costantemente la modifica degli standard di crittografia, formula raccomandazioni e implementa le modifiche necessarie.

Crittografia a riposo

Per la crittografia dei set di dati a riposo utilizziamo l’algoritmo crittografico approvato da FIPS, AES 256 bit.

Servizio di hosting sicuro dell’infrastruttura

L’infrastruttura di GoFundMe è ospitata da Amazon Web Services. AWS mantiene molteplici certificazioni per i suoi data center, compresa la conformità ISO 27001 e la certificazione PCI DSS. Per ulteriori informazioni sulle certificazioni e conformità di AWS, visita il sito web AWS Security.

 

Disaster recovery

GoFundMe utilizza i servizi forniti da AWS che includono AWS Cloudfront CDN, AWS Application Load Balancing, AWS Availability Zones per distribuire il suo ambiente di produzione in diverse posizioni fisiche. Queste diverse posizioni fisiche proteggono i servizi GoFundMe da perdita di connettività, calo di potenza energetica e altri guasti specifici della posizione. L’alta disponibilità è integrata nell’infrastruttura di GoFundMe. Inoltre, l’infrastruttura è configurata dai sistemi di gestione di codice e configurazione. Ciò consente il ripristino rapido dell’infrastruttura in caso di disastro. Per i dati e le infrastrutture critiche vengono effettuati regolari backup completi e incrementali.

Conformità e certificazioni

GoFundMe non memorizza i dati dei titolari di carte come da definizione del PCI Data Security Standard, GoFundMe ha in ogni caso raggiunto il massimo livello di conformità PCI come fornitore di servizi conforme a PCI DSS Level 1. GoFundMe è controllata annualmente da un PCI Qualified Security Assessor indipendente e soddisfa tutti i requisiti PCI Data Security Standard. GoFundMe è presente sul sito web del Visa Global Registry of Service Provider.  L’attestato di conformità PCI di GoFundMe è disponibile su richiesta.

Programma di ricerca dei bug (bug bounty) e divulgazione delle vulnerabilità

GoFundMe ha un programma di bug bounty/divulgazione di vulnerabilità. Se ritieni di aver scoperto potenziali vulnerabilità di sicurezza su GoFundMe, ti invitiamo a comunicarci la tua scoperta il più rapidamente possibile. GoFundMe opera un programma di bug bounty privato con l’assistenza di BugCrowd. I ricercatori hanno diritto al pagamento qualora dei risultati sconosciuti vengano accettati. Coloro che non sono stati coinvolti nel programma possono comunque inviare un bug relativo alla sicurezza o una vulnerabilità a GoFundMe tramite BugCrowd compilando il modulo in fondo a questa pagina.

Tutti i bug o le vulnerabilità di sicurezza che vengono inviati sono soggetti ai termini e alle condizioni di GoFundMe. Effettuando un invio, accetti di non divulgare pubblicamente i tuoi risultati o il contenuto del tuo invio a terze parti senza la previa approvazione scritta di GoFundMe.

Vulnerabilità non idonee

  1. DoS/DDoS
  2. Report di spam
  3. Social engineering
  4. Report non confermati di scanner automatici delle vulnerabilità
  5. Divulgazione dei numeri di versione del server o software
  6. Acquisizioni ipotetiche di sottodomini senza supporto di prove
  7. Invalidazione della sessione o altri miglioramenti della sicurezza relativi alla gestione dell’account quando una credenziale è già nota (ad esempio, il link per la reimpostazione della password non scade immediatamente, l’aggiunta di MFA non fa scadere altre sessioni, ecc.)
  8. Punti deboli di sicurezza percepiti senza prove concrete della capacità di compromettere un utente (ad esempio, limiti di velocità mancanti, intestazioni mancanti, ecc.)
  9. Report che sfruttano il comportamento o le vulnerabilità di browser obsoleti
  10. Enumerazione utenti/commercianti
  11. Segnalazioni di best practice senza un exploit valido (ad esempio l’uso di cifrari TLS “deboli”)
  12. Divulgazione di file o directory pubbliche note (ad esempio robots.txt)
  13. Suggerimenti per la configurazione del Domain Name System Security Extensions (DNSSEC)
  14. Divulgazione di banner su servizi comuni/pubblici
  15. Mancanza di flag Secure/HTTPOnly sui cookie non sensibili
  16. Presenza di funzionalità di “completamento automatico” o “salva password” dell’applicazione o del browser web
  17. Suggerimenti per la configurazione del Sender Policy Framework (SPF)
  18. CSRF
  19. Modulo di contatto
  20. Messaggistica

Campo di applicazione

Nel campo di applicazione

  • gofundme.com
  • api.gofundme.com
  • funds.gofundme.com
  • gateway.gofundme.com

Fuori dal campo di applicazione

  • happiness.gofundme.com
  • Charity.gofundme.com
  • Charitysupport.gofundme.com
  • Charitysandbox.gofundme.com
  • fastly.gofundme.com
  • support.gofundme.com
  • community.gofundme.com

Invia qui i bug