הפרדת גישה
Pixilo מפרידה בין גישת בעלים, מפעילים, תמיכה וגישה לחנויות שנוצרו. חנויות דיירים משתמשות בבסיסי נתונים נפרדים, וגישת תמיכה צריכה להיות קצרה ומתועדת.
הגנת סשן
סשני בעלים משתמשים בעוגיות חתומות HttpOnly, עוגיות Secure בייצור, בקרות SameSite, תוקף מוטמע ומצב ביטול בצד שרת. איפוס/שינוי סיסמה, שינוי מייל, אירועים חשודים ויציאה מכל המכשירים צריכים לבטל סשנים ישנים.
אימות רענן
פעולות רגישות כמו שינוי סיסמה, שינוי מייל, שינוי חיוב/תשלום, שינוי דומיין/שולח, הזמנת צוות, ייצוא מידע, הפעלה מחדש ופעולות הרסניות עשויות לדרוש כניסה עדכנית או אימות נוסף.
סודות ותשלומים
Pixilo לא שומרת מספרי כרטיס מלאים, קוד CVV, סיסמאות קריאות, תיבות מייל חיצוניות פרטיות, לוחות בנק חיצוניים או לוחות ספקי תשלום פרטיים.
גיבויים
Pixilo עשויה ליצור גיבויים מקומיים, ב-VPS או באחסון אובייקטים ולבצע תרגילי שחזור. מטא-דאטה של גיבוי, הוכחות שחזור וסטטוס שמירה עוזרים למפעילים להבין מוכנות התאוששות.
הוכחות
הוכחות גרסה, בדיקות Smoke, צילומי מסך ודוחות תפעול עשויים לעלות לתשתית Pixilo ולהיות זמינים רק דרך קישורי מפעיל מוגנים. הוכחות ישנות כפופות לניקוי שמירה.
לוגים וניטור
לוגים וניטור צריכים להימנע מסודות ומפרטי כרטיס גולמיים. תעבורת שגיאות, אם מוגדרת, חייבת להיות מצונזרת, מוגבלת, אופציונלית ומבודדת מכשלים.
דיווח אבטחה
חשד לבעיית אבטחה צריך להישלח לערוץ האבטחה עם מספיק פרטים לשחזור או בדיקה בטוחה.לפניות:security@pixilo.ai