¿Cómo puedo informar sobre una posible vulnerabilidad de seguridad en los productos Figma?

Figma tiene un programa de recompensas por errores que les permite a los investigadores de seguridad y a los clientes probar nuestras aplicaciones para detectar problemas de seguridad, siguiendo las pautas de nuestro programa.

¿Dónde puedo ver y descargar los informes de auditoría independiente de terceros (por ejemplo, SOC 2 Tipo II) y las certificaciones (por ejemplo, la certificación ISO 27001)?

Los clientes y futuros clientes pueden descargar nuestros informes de auditoría independientes de terceros (por ejemplo, SOC 2 Tipo II) y las certificaciones (por ejemplo, la certificación ISO 27001) en nuestro Centro de confianza.

¿Pueden completar mi cuestionario de seguridad?

Sabemos que muchos clientes tienen un proceso de gestión de riesgos de proveedores para servicios en la nube como Figma. Para respaldar esto, hemos creado un Centro de confianza con el objetivo de ofrecer transparencia en torno a nuestros controles de seguridad y la protección de los datos de los clientes. Incluye cuestionarios estándar de la industria previamente completados (por ejemplo, CSA CAIQ, SIG Lite), más de 500 preguntas y respuestas de la base de conocimientos, e informes de auditoría de terceros (por ejemplo, SOC 2 Tipo II) y certificaciones (por ejemplo, ISO 27001). Revisa estos recursos antes de solicitar un cuestionario de seguridad personalizado. ¡Gracias!

¿Cuáles son los estándares de seguridad de Figma?

Puedes encontrar nuestros estándares de seguridad en el Anexo C de nuestro Acuerdo de servicios de software.

¿Usa Figma subprocesadores de terceros?

Sí, Figma usa subprocesadores de terceros para alojar datos de clientes, proporcionar infraestructura que ayude con la entrega de nuestros servicios o realizar otras funciones de servicio.

¿Revisa nuestro equipo de seguridad los hallazgos de las plataformas de evaluación de riesgos de terceros (por ejemplo, SecurityScorecard, Bitsight)?

Entendemos que muchas organizaciones usan plataformas de evaluación de riesgos de terceros para cumplir con la debida diligencia en materia de seguridad. Sin embargo, hemos notado que estas plataformas a menudo producen resultados poco confiables e incorrectos, y abordar estos hallazgos incorrectos es costoso y distrae del trabajo importante de ciberseguridad. Por lo tanto, nuestra política es no responder siempre a las consultas o los hallazgos de estas plataformas. Este enfoque nos permite orientar a nuestros recursos de ciberseguridad hacia lo que realmente importa para Figma y nuestros clientes.

¿Dónde puedo aprender más sobre las políticas de IA de Figma?

Visita la página sobre el enfoque de IA de Figma para obtener más información.

Seguridad y cumplimiento de Figma

Figma empodera a los equipos para que creen mejores productos, con seguridad de nivel empresarial en cada paso del proceso. Nuestro equipo de seguridad dedicado garantiza que tus datos estén protegidos y que se cumplan tus obligaciones de seguridad y cumplimiento mediante auditorías continuas, medidas de protección de privacidad y una infraestructura de seguridad robusta.

Con la confianza de los equipos de

Encuentra lo que necesitas en el Centro de Confianza de Figma

Figma cuenta con un Centro de confianza donde puedes encontrar respuestas a preguntas frecuentes, explorar nuestras amplias prácticas de seguridad y acceder y descargar nuestra documentación de cumplimiento, como el informe SOC 2 Tipo II o la certificación ISO 27001.

Visita el Centro de confianza de Figma

Seguro y privado por diseño

Obtén más información sobre las certificaciones, los marcos de trabajo y los programas de cumplimiento de Figma, todos meticulosamente diseñados para proteger los datos y la privacidad de nuestros clientes.

Diapositiva 1 de 7

SOC 2 Tipo 2 / SOC 3

SOC 2 Tipo 2 / SOC 3

Figma cuenta con un informe SOC 2 Tipo 2 que demuestra nuestro compromiso con la protección de los datos de los clientes a través de controles robustos de seguridad, disponibilidad y confidencialidad que se alinean con los Criterios de servicios de confianza del AICPA. Además, cualquier persona puede descargar nuestro Informe SOC 3, que incluye un resumen del informe SOC 2 junto con la evaluación de un auditor externo independiente sobre la eficacia con la que implementamos y operamos estos controles.

Alcance

Productos: Figma Design, FigJam, Dev Mode

Región: Estados Unidos, Unión Europea (ver Alojamiento de archivos en la UE)

Criterios de Servicios de Confianza: Seguridad, Disponibilidad, Confidencialidad

Periodo de auditoría más reciente: 5 de diciembre de 2024

El informe SOC 2 está disponible para descargar en el Centro de confianza de Figma.

ISO

ISO27001/ISO27701/ISO27017/ISO27018

La Organización Internacional de Normalización (ISO) desarrolló una serie de normas para la seguridad de la información y la sociedad, diseñados para ayudar a las organizaciones a crear productos y servicios confiables y seguros. Figma certificó sus productos y servicios conforme a las normas ISO/IEC 27001:2022 e ISO/IEC 27018:2019, y pone a disposición para su descarga su certificación ISO de Figma.

Alcance

Producto: Figma Design, FigJam, Dev Mode

Región: Estados Unidos, Unión Europea (ver Alojamiento de archivos en la UE)

Fecha de emisión más reciente: 5 de diciembre de 2024

Código de Conducta de la Nube de la UE

Código de conducta de la nube para la UE: nivel 2

El Código de conducta de la nube para la UE traduce los requisitos del RGPD en lineamientos prácticos para los proveedores de servicios en la nube, al brindar enfoques específicos para la nube, recomendaciones y un plan que se alinea con el RGPD y las normas internacionales como las certificaciones ISO 27001 e ISO 27018. Figma se certifica en el nivel 2 del Código, y su informe de evaluación está disponible para descarga tanto en el Registro del Código de conducta de la nube para la UE como en el Registro CSA STAR.

Alcance

Productos: Figma Design, FigJam, Dev Mode

Región: Estados Unidos, Unión Europea (ver Alojamiento de archivos en la UE)

Blog: Diseñar en la nube con confianza (20 de septiembre de 2022)

ID de adherencia: 2022LVL02SCOPE4114

TISAX

Intercambio de Evaluación de Seguridad de la Información de Confianza (TISAX)

Trusted Information Security Assessment Exchange (TISAX) es un catálogo estándar de evaluación de seguridad de la información (ISA) de la industria automotriz europea, que se basa en aspectos clave de la seguridad de la información y en los requisitos de la norma internacional ISO 27001. El registro de Figma en TISAX se puede encontrar con la siguiente información:

Nombre de la empresa: Figma, Inc.

ID de la evaluación: AV01AK-2

ID del alcance: S3XH77

Ten en cuenta que TISAX y los resultados de TISAX no están destinados al público general.

PCI-DSS (Comerciante)

PCI-DSS (Comerciante)

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) es un conjunto de estándares de seguridad diseñados para garantizar que todas las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro. PCI-DSS se aplica tanto a los comerciantes como a los proveedores de servicios que almacenan, procesan o transmiten datos del titular de la tarjeta (a través de uno de los cinco emisores de tarjetas mencionados anteriormente). Como comerciante, Figma cumple con el estándar PCI-DSS y completa todos los años un cuestionario de autoevaluación de PCI (SAQ) A.

Cloud Security Alliance (CSA)

Cloud Security Alliance (CSA) STAR: nivel 1

Cloud Security Alliance (CSA) es una organización sin fines de lucro que promueve las mejores prácticas para la seguridad dentro de la computación en la nube y ofrece un programa de Registro de seguridad, confianza y aseguramiento (STAR) diseñado para que los proveedores de la nube documenten sus controles de seguridad. Al menos una vez al año, Figma completa el Cuestionario de la iniciativa de evaluaciones de consenso (CAIQ) basado en la Matriz de controles de la nube (CCM) para brindarles a los clientes garantías sobre nuestra postura en torno a la seguridad y el cumplimiento, incluidas las regulaciones, los estándares y los marcos a los que adherimos. Recomendamos encarecidamente a los clientes y futuros clientes que descarguen y revisen nuestro CAIQ antes de solicitarnos que completemos un cuestionario de seguridad personalizado.

ProcessUnity Intercambio Global de Riesgos (anteriormente CyberGRX)

Global Risk Exchange (anteriormente CyberGRX)

Global Risk Exchange (anteriormente CyberGRX) es una plataforma de gestión de riesgos de terceros diseñada para ayudar a las organizaciones a evaluar, monitorear y mitigar los riesgos asociados con sus proveedores externos. Al menos una vez al año, Figma realiza una evaluación de nivel 1 y pone estos resultados a disposición de los clientes a través del portal GRX de ProcessUnity. Recomendamos encarecidamente a los clientes y futuros clientes que revisen nuestra evaluación de nivel 1, ya que hemos dedicado tiempo y esfuerzo para completar esta evaluación y proporcionarles detalles exhaustivos sobre nuestros controles de seguridad y privacidad.

SOC 2 Tipo 2 / SOC 3

Alcance

Productos: Figma Design, FigJam, Dev Mode

Región: Estados Unidos, Unión Europea (ver Alojamiento de archivos en la UE)

Criterios de Servicios de Confianza: Seguridad, Disponibilidad, Confidencialidad

Periodo de auditoría más reciente: 5 de diciembre de 2024

El informe SOC 2 está disponible para descargar en el Centro de confianza de Figma.

Figma para el gobierno

Diseñar mejores experiencias ciudadanas

Moderniza la manera en que los equipos hacen lluvia de ideas, diseñan y desarrollan en el gobierno. Colabora en una plataforma diseñada para cumplir con las necesidades de seguridad y creatividad de las agencias gubernamentales.

Descubre Figma para el gobierno

Tus derechos de privacidad son importantes para nosotros

Figma garantiza que todos los datos personales cumplan con el Reglamento General de Protección de Datos (RGPD) de la UE y la Ley de Privacidad del Consumidor de California (CCPA). Visita el Centro de privacidad y confianza de Figma para obtener más información.

Obtén más información sobre la seguridad de Figma

Imponer la confianza en el dispositivo para cambios de código

Así es como el equipo de ingeniería de seguridad de Figma aprovechó las firmas de commit y los certificados de confianza de dispositivos de Okta para proteger las ramas de lanzamiento de GitHub.

Explora cómo

Figma participa en la evaluación TISAX para la industria automotriz europea

En Figma, nos encanta ayudar a nuestros clientes a construir productos sobresalientes, sin importar su industria. TISAX proporciona tranquilidad a los diseñadores de productos, al saber que su trabajo de diseño se gestiona de forma segura y cumple estrictamente con las normativas.

Lee más

Aislamiento de aplicaciones del lado del servidor: contenedores y seccomp

Los contenedores y el modo de computación segura (seccomp) son mecanismos de aislamiento que proporcionan una alternativa más ligera a las máquinas virtuales (VM). Aquí abordamos las diferencias entre ellos y cómo usamos ambos en Figma para lograr el aislamiento de seguridad.

Lee más

Preguntas frecuentes sobre seguridad y cumplimiento

Explora Figma para tu organización

Comunicarse con ventas