GoFundMe-beveiliging

GoFundMe neemt beveiliging serieus. Hieronder vind je een beschrijving van de beveiligingsprocedures die we hebben geïmplementeerd om gegevens te beveiligen en te beschermen.

Organisatorische beveiliging

Het GoFundMe-beveiligingsprogramma is afgestemd op de functies van het NIST Cybersecurity Framework en een combinatie van controlemiddelen van NIST 800-53, CIS CSC Top 20 en de PCI Data Security Standard.

Audits en beoordelingen door derden op naleving

Audits: jaarlijks schakelt GoFundMe externe beoordelaars in om de naleving van de PCI-vereisten te controleren.

Continu testen: GoFundMe schakelt externe scan- en penetratietesters in om penetratietesten op netwerk- en applicatieniveau en kwetsbaarheidsscans uit te voeren.

Levenscyclus van de softwareontwikkeling

De levenscyclus van de softwareontwikkeling van GoFundMe is volledig geïntegreerd met onze beveiligingsorganisatie en -strategie. De beoordeling van risico’s van softwareprojecten is gebaseerd op de OWASP Top 10. We leggen de nadruk op beveiligde coderingsprincipes en ontwikkelaars ondergaan regelmatig een veilige coderingstraining. In meerdere stadia van de levenscyclus van de softwareontwikkeling worden statische codeanalyse, dynamische codeanalyse en softwarecompositieanalyse uitgevoerd. Alle code heeft versiebeheer, onderhevig aan peer reviews, integratie, functionele- en QA-testen.

Hoe we klantgegevens beschermen

GoFundMe onderneemt een aantal stappen om klantgegevens te beschermen. Dit is een gezamenlijke inspanning om risico’s te identificeren en te beperken, en optimale werkwijzen te implementeren.

Gegevensversleuteling onderweg

Gegevens bij de GoFundMe-website worden ingediend en via openbare/open netwerken worden verzonden, zijn versleuteld. Er worden TLS versie 1.2+ protocollen en een AES 256 bit cryptografisch algoritme gebruikt. Het beveiligingsteam houdt voortdurend de veranderende encryptiestandaarden in de gaten, doet aanbevelingen en implementeert waar nodig wijzigingen.

Versleuteling in rust

We gebruiken het door FIPS goedgekeurde cryptografische algoritme – AES 256 bit bij het versleutelen van datasets in rust.

Beveiligde infrastructuur hostingservice

De GoFundMe-infrastructuur wordt gehost bij Amazon Web Services. AWS heeft meerdere certificeringen voor zijn datacenters, waaronder ISO 27001-compliance en PCI DSS-certificering. Bezoek de AWS Security Website voor meer informatie over hun certificering en naleving.

Noodherstel

GoFundMe gebruikt diensten van AWS, waaronder AWS Cloudfront CDN, AWS Application Load Balancing, AWS Availability Zones om zijn productieomgeving op verschillende fysieke locaties te verdelen. Deze verschillende fysieke locaties beschermen de diensten van GoFundMe tegen verbindingsverlies, stroomuitval en andere locatiespecifieke storingen. In de GoFundMe-infrastructuur is hoge beschikbaarheid ingebouwd. Daarnaast wordt de infrastructuur geconfigureerd door code- en configuratiebeheersystemen. Dit maakt een snel herstel van een defecte infrastructuur mogelijk. Voor kritieke gegevens en infrastructuur worden volledige en incrementele back-ups onderhouden.

Naleving en certificeringen

GoFundMe slaat geen kaarthoudergegevens op zoals gedefinieerd in de PCI Data Security Standard. Toch heeft GoFundMe het hoogste niveau van PCI-compliance bereikt als PCI DSS Level 1 Compliant Service Provider. GoFundMe wordt jaarlijks gecontroleerd door een onafhankelijke PCI Qualified Security Assessor en voldoet aan alle vereisten van de PCI Data Security Standard. GoFundMe staat vermeld op de website van Visa Global Registry of Service Provider. GoFundMe’s PCI Attestation of Compliance is op aanvraag verkrijgbaar.

Programma voor het bekendmaken van bugs en kwetsbaarheden

GoFundMe heeft een programma voor het bekendmaken van bugs/kwetsbaarheden. Als je denkt dat je mogelijke beveiligingsproblemen op GoFundMe hebt ontdekt, raden we je aan om dit zo snel mogelijk aan ons te melden. GoFundMe onderhoudt een eigen programma voor het bekendmaken van bugs met de hulp van BugCrowd. Onderzoekers komen in aanmerking voor betaling bij geaccepteerde onbekende bevindingen. Degenen die niet bij het programma betrokken waren, kunnen nog steeds een beveiligingsfout of -kwetsbaarheid bij GoFundMe indienen via BugCrowd. Dat kan door het formulier onderaan deze pagina in te vullen.

Alle ingediende beveiligingsbugs of -kwetsbaarheden zijn onderworpen aan de algemene voorwaarden van GoFundMe. Door een inzending in te dienen, stem je ermee in dat je de bevindingen of de inhoud van je inzending niet openbaar mag maken aan derden zonder voorafgaande schriftelijke toestemming van GoFundMe.

Ongeldige kwetsbaarheden

  1. DoS/DDoS
  2. Spammeldingen
  3. Social engineering
  4. Onbevestigde rapporten van geautomatiseerde kwetsbaarheidsscanners
  5. Openbaarmaking van server- of softwareversienummers
  6. Hypothetische overnamen van subdomein zonder ondersteunend bewijs
  7. Sessie-invalidatie of andere verbeterde beveiliging met betrekking tot accountbeheer wanneer een referentie al bekend is (bijv. de link voor het opnieuw instellen van het wachtwoord vervalt niet onmiddellijk, het toevoegen van MFA leidt niet tot vervallen van andere sessies, enz.)
  8. Waargenomen zwakke punten in de beveiliging zonder concreet bewijs van de mogelijkheid om een gebruiker te compromitteren (bijv. ontbrekende snelheidslimieten, ontbrekende headers, enz.)
  9. Meldingen die misbruik maken van het gedrag van, of kwetsbaarheden in, verouderde browsers
  10. Opsomming gebruiker/verkoper
  11. Meldingen beste werkwijzen zonder een geldige exploitatie (bijv. gebruik van ‘zwakke’ TLS-coderingen)
  12. Openbaarmaking van bekende openbare bestanden of lijsten (bijv. robots.txt)
  13. Configuratiesuggesties voor Domain Name System Security Extensions (DNSSEC)
  14. Openbaarmaking van banners over gemeenschappelijke/openbare diensten
  15. Gebrek aan Secure/HTTPOnly flags op niet-gevoelige cookies
  16. Aanwezigheid van de functionaliteit ‘autocomplete’ of ‘wachtwoord opslaan’ in applicaties of webbrowsers
  17. Configuratiesuggesties voor Sender Policy Framework (SPF)
  18. CSRF
  19. Contactformulier
  20. Berichten

Bereik

Binnen bereik

  • gofundme.com
  • api.gofundme.com
  • funds.gofundme.com
  • gateway.gofundme.com

Buiten bereik

  • happiness.gofundme.com
  • Charity.gofundme.com
  • Charitysupport.gofundme.com
  • Charitysandbox.gofundme.com
  • fastly.gofundme.com
  • support.gofundme.com
  • community.gofundme.com

Vermeld hier bugs