¿Cómo puedo informar sobre una posible vulnerabilidad de seguridad en los productos de Figma?

Figma tiene un programa de recompensas por detección de vulnerabilidades que permite a los investigadores de seguridad y a los clientes probar nuestras aplicaciones para detectar problemas de seguridad, siguiendo las directrices de nuestro programa.

¿Dónde puedo ver y descargar vuestros informes de auditoría independientes de terceros (como SOC 2 Tipo II) y certificados (como el certificado ISO 27001)?

Los clientes actuales y potenciales pueden descargar nuestros informes de auditoría independientes de terceros (por ejemplo, SOC 2 Tipo II) y certificados (por ejemplo, certificado ISO 27001) en nuestro Centro de Confianza.

¿Podéis completar mi cuestionario de seguridad?

Sabemos que muchos clientes tienen un proceso de gestión de riesgos de proveedores para servicios en la nube como Figma. Para ayudarles, hemos creado un Centro de Confianza para ofrecer transparencia sobre nuestros controles de seguridad y la protección de los datos de los clientes. Este incluye cuestionarios estándares del sector precompletados (por ejemplo, CSA CAIQ, SIG Lite), más de 500 preguntas y respuestas de la base de conocimientos e informes de auditoría de terceros (por ejemplo, SOC 2 Tipo II) y certificados (por ejemplo, ISO 27001). Consulta estos recursos antes de solicitar un cuestionario de seguridad personalizado. ¡Gracias!

¿Cuáles son los estándares de seguridad de Figma?

Encontrarás nuestros estándares de seguridad en el Anexo C de nuestro Acuerdo de servicios de software.

¿Figma trabaja con subencargados del tratamiento de terceros?

Sí, Figma trabaja con subencargados de terceros para alojar datos de clientes, proporcionar infraestructuras que nos ayuden a prestar nuestros servicios u ofrecer otros tipos de servicio.

¿Revisa nuestro equipo de seguridad los resultados de las plataformas de evaluación de riesgos de terceros (por ejemplo, SecurityScorecard, Bitsight)?

Entendemos que muchas organizaciones emplean plataformas de evaluación de riesgos de terceros para cumplir con la debida diligencia en seguridad. Sin embargo, hemos notado que estas plataformas a menudo generan resultados poco fiables e incorrectos, y corregir estos errores es costoso y desvía la atención del trabajo importante en ciberseguridad. Por lo tanto, nuestra política es no responder siempre a las consultas o resultados de estas plataformas. Este nos permite emplear nuestros recursos de ciberseguridad en lo más importante para Figma y nuestros clientes.

¿Dónde encuentro los detalles de las políticas de IA de Figma?

Visita la página sobre el enfoque de IA de Figma para obtener más información.

Seguridad y cumplimiento de Figma

Figma permite a los equipos crear mejores productos, con seguridad de nivel empresarial en todo momento. Nuestro Equipo de Seguridad garantiza que tus datos estén protegidos y que se cumplan sus obligaciones de seguridad y conformidad mediante auditorías continuas, medidas de privacidad y una infraestructura de seguridad robusta.

Con la confianza de los equipos de

Encuentra lo que necesitas en el Centro de Confianza de Figma

Figma cuenta con un Centro de Confianza donde puedes encontrar respuestas a preguntas frecuentes, explorar nuestras extensas medidas de seguridad y acceder y descargar nuestra documentación de cumplimiento, como un informe SOC 2 Tipo II o un Certificado ISO 27001.

Visita el Centro de Confianza de Figma

Seguro y privado por diseño

Obtén más información sobre las certificaciones, los marcos y los programas de cumplimiento de Figma, todos meticulosamente diseñados para proteger los datos y la privacidad de nuestros clientes.

Diapositiva 1 de 7

SOC 2 Tipo 2 / SOC 3

SOC 2 Tipo 2 / SOC 3

Figma cuenta con un informe SOC 2 Tipo 2 que demuestra nuestro compromiso con la protección de los datos de los clientes mediante controles sólidos de seguridad, disponibilidad y confidencialidad que se ajustan a los Criterios de Servicios de Confianza de la AICPA. Además, cualquier persona puede descargar nuestro informe SOC 3, que incluye un resumen del informe SOC 2 junto con la evaluación de un auditor externo independiente sobre la eficacia con la que implementamos y usamos estos controles.

Alcance

Producto: Figma Design, FigJam, Dev Mode

Región: Estados Unidos, Unión Europea (ver Alojamiento de archivos localizados en la UE)

Criterios de servicios de confianza: Seguridad, Disponibilidad, Confidencialidad

Período de auditoría más reciente: 5 de diciembre de 2024

El informe SOC 2 está disponible para descargar en el Centro de Confianza de Figma.

ISO

ISO27001/ISO27701/ISO27017/ISO27018

La Organización Internacional de Normalización (ISO) ha elaborado una serie de normas para la seguridad de la información y la seguridad de la sociedad, destinadas a ayudar a las organizaciones a crear productos y servicios fiables y seguros. Figma ha certificado sus productos y servicios conforme a ISO/IEC 27001:2022 e ISO/IEC 27018:2019, y pone a disposición para su descarga su certificado ISO de Figma.

Alcance

Producto: Figma Design, FigJam, Dev Mode

Región: Estados Unidos, Unión Europea (ver Alojamiento de archivos localizados en la UE)

Fecha de emisión más reciente: 5 de diciembre de 2024

Código de Conducta de la Nube de la UE

Código de conducta de la nube de la UE: Nivel 2

El Código de conducta de la nube de la UE traduce los requisitos del GDPR en directrices prácticas para los proveedores de servicios en la nube, ofreciendo enfoques específicos de la nube, recomendaciones y una hoja de ruta que se alinea con el GDPR y las normas internacionales como ISO 27001 e ISO 27018. Figma se certifica conforme al Nivel 2 del Código, y su informe de evaluación está disponible para descargar tanto en el Registro del Código de conducta de la nube de la UE como en el Registro CSA STAR.

Alcance

Producto: Figma Design, FigJam, Dev Mode

Región: Estados Unidos, Unión Europea (ver Alojamiento de archivos localizados en la UE)

Blog: Diseñar en la nube con confianza (20 de septiembre de 2022)

ID de cumplimiento: 2022LVL02SCOPE4114

TISAX

Trusted Information Security Assessment Exchange (intercambio de la evaluación de seguridad de información fiable o TISAX)

Trusted Information Security Assessment Exchange (TISAX) es un catálogo estándar del sector automotriz europeo para la evaluación de la seguridad de la información (ISA), basado en aspectos clave de la seguridad de la información y en los requisitos de la norma internacional ISO 27001. El listado de Figma en TISAX se puede encontrar utilizando los siguientes datos:

Nombre de la empresa: Figma, Inc.

ID de la evaluación: AV01AK-2

ID del alcance: S3XH77

Ten en cuenta que TISAX y los resultados de TISAX no están destinados al público en general.

PCI-DSS (Comerciante)

PCI-DSS (Comerciante)

El Payment Card Industry Data Security Standard (estándar de seguridad de datos para la industria de tarjetas de pago o PCI-DSS) es un conjunto de normas de seguridad diseñado para garantizar que todas las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro. PCI-DSS se aplica tanto a los comerciantes como a los proveedores de servicios que almacenan, procesan o transmiten datos del titular de la tarjeta (a través de uno de los cinco emisores de tarjetas mencionados anteriormente). Como comerciante, Figma cumple n las normas PCI-DSS y completa un cuestionario anual de autoevaluación PCI (SAQ) A.

Cloud Security Alliance (CSA)

Cloud Security Alliance (CSA) STAR: Level 1

Cloud Security Alliance (CSA) es una organización sin ánimo de lucro que promueve buenas prácticas para la seguridad de la nube digital y ofrece un programa de Registro de Seguridad, Confianza y Garantía (STAR) diseñado para que los proveedores de servicios en la nube documenten sus controles de seguridad. Al menos una vez al año, Figma completa el Cuestionario de la Iniciativa de Evaluaciones de Consenso (CAIQ) basado en la Matriz de Controles de la Nube (CCM) para proporcionar a los clientes garantías sobre nuestra postura en cuanto a seguridad y cumplimiento, incluidas las regulaciones, los estándares y los marcos a los que nos ajustamos. Animamos encarecidamente a los clientes actuales y potenciales a descargar y revisar nuestro CAIQ antes de solicitarnos que completemos un cuestionario de seguridad personalizado.

ProcessUnity Global Risk Exchange (anteriormente CyberGRX)

Global Risk Exchange (anteriormente CyberGRX)

Global Risk Exchange (anteriormente CyberGRX) es una plataforma de gestión de riesgos de terceros diseñada para ayudar a las organizaciones a evaluar, supervisar y reducir los riesgos asociados con sus proveedores externos. Al menos una vez al año, Figma lleva a cabo una Evaluación de Nivel 1 y pone estos resultados a disposición de los clientes a través del portal GRX de ProcessUnity. Animamos encarecidamente a los clientes actuales y potenciales a consultar nuestra Evaluación de Nivel 1, ya que hemos dedicado tiempo y esfuerzo a completarla y ofrecerles detalles exhaustivos sobre nuestros controles de seguridad y privacidad.

SOC 2 Tipo 2 / SOC 3

Alcance

Producto: Figma Design, FigJam, Dev Mode

Región: Estados Unidos, Unión Europea (ver Alojamiento de archivos localizados en la UE)

Criterios de servicios de confianza: Seguridad, Disponibilidad, Confidencialidad

Período de auditoría más reciente: 5 de diciembre de 2024

El informe SOC 2 está disponible para descargar en el Centro de Confianza de Figma.

figma para gobiernos

Diseña mejores experiencias ciudadanas

Moderniza la forma en que los equipos conciben, diseñan y construyen en el ámbito gubernamental. Colabora en una plataforma diseñada para satisfacer las necesidades de seguridad y creatividad de las agencias gubernamentales.

Infórmate sobre Figma para gobiernos

Nos tomamos en serio tus derechos de privacidad

Figma garantiza que todos los datos personales se traten según el Reglamento General de Protección de Datos (RGPD) de la UE y la Ley de Privacidad del Consumidor de California (CCPA). Visita el Centro de Privacidad y Confianza de Figma para ver más información.

Lee sobre la seguridad de Figma

Garantizar la confianza de los dispositivos en los cambios de código

Así es como el equipo de ingeniería de seguridad de Figma utilizó las firmas de confirmación y los certificados de confianza de dispositivos de Okta para proteger las ramas de lanzamiento de GitHub.

Explorar

Figma participa en la evaluación TISAX para el sector de la automoción europeo

En Figma, nos apasiona ayudar a nuestros clientes a desarrollar productos excepcionales, independientemente de su sector. TISAX ofrece confianza a los diseñadores de productos y garantiza que su trabajo de diseño se gestiona de forma segura y cumple estrictamente las normativas.

Más información

Aislamiento del lado del servidor: contenedores y seccomp

Los contenedores y el modo de computación segura (seccomp) son primitivas de sandboxing que ofrecen una alternativa más ligera que las máquinas virtuales (VMs). Aquí tratamos las diferencias entre ellas y cómo las usamos en Figma para el aislamiento de seguridad.

Más información

Preguntas frecuentes sobre seguridad y cumplimiento

Explora Figma para tu org

Contacto con el equipo de ventas