Hoe meld ik een potentieel beveiligingsprobleem in een product van Figma?

Figma heeft een Bug Bounty Programma waarmee beveiligingsonderzoekers en klanten onze applicaties kunnen testen op beveiligingsproblemen, volgens de richtlijnen van ons programma.

Waar kan ik jullie onafhankelijke auditrapporten van derden (bijv. SOC 2 Type II) en certificaten (bijv. ISO 27001-certificaat) bekijken en downloaden?

Klanten en potentiële klanten kunnen onze onafhankelijke auditrapporten van derden (bijv. SOC 2 Type II) en certificaten (bijv. ISO 27001-certificaat) downloaden op ons Trust Center.

Willen jullie mijn beveiligingsvragenlijst invullen?

We weten dat veel klanten een Vendor Risk Management-proces hebben voor cloudservices zoals Figma. Om dit te ondersteunen, hebben we een Trust Center gemaakt waarin je alles kunt lezen over transparantie, beveiligingsmaatregelen en de bescherming van klantgegevens. Er staan ingevulde vragenlijsten in volgens de industriestandaard (bijv. CSA CAIQ, SIG Lite), de kennisbank bestaat uit meer dan 500 vragen en antwoorden, en we bewaren hier de auditrapporten van derden (bijv. SOC 2 Type II) en certificaten (bijv. ISO 27001). Raadpleeg deze bronnen voordat je een aangepaste beveiligingsvragenlijst aanvraagt. Dankjewel!

Wat zijn de beveiligingsstandaarden van Figma?

Onze beveiligingsnormen staan in Bijlage C van onze Overeenkomst Softwarediensten.

Maakt Figma gebruik van externe subverwerkers?

Ja, Figma schakelt derde partijen als subverwerkers in om klantgegevens te hosten, infrastructuur te bieden die helpt bij de levering van onze diensten, of om andere servicefuncties uit te voeren.

Beoordeelt het beveiligingsteam van Figma de resultaten van risicobeoordelingsplatforms van derden, zoals SecurityScorecard of Bitsight?

We begrijpen dat veel organisaties platforms van derden gebruiken voor risicobeoordeling als onderdeel van de due diligence in hun beveiliging. We hebben echter gemerkt dat deze platforms vaak onbetrouwbare en onjuiste resultaten opleveren. Het corrigeren van deze onjuiste bevindingen is kostbaar en leidt af van belangrijk werk op het gebied van cyberbeveiliging. Daarom is het ons beleid om niet altijd te reageren op vragen of bevindingen die uit deze platforms voortkomen. Deze aanpak stelt ons in staat om onze cybersecuritymiddelen te concentreren op wat echt belangrijk is voor Figma en onze klanten.

Waar kan ik meer te weten komen over het AI-beleid van Figma?

Bezoek de pagina Figma's benadering van AI om meer te leren.

Figma Security en naleving

Figma stelt teams in staat om betere producten te ontwikkelen, met optimale bedrijfsveiligheid in elke fase van het proces. Ons toegewijde beveiligingsteam zorgt ervoor dat je gegevens goed beschermd zijn en dat we voldoen aan alle beveiligings- en nalevingsverplichtingen. Dit doen we door middel van voortdurende audits, privacybescherming en een hoogwaardige beveiligingsinfrastructuur.

Vertrouwd door teams bij

Vind wat je nodig hebt in het Figma Trust Center

Figma onderhoudt een Trust Center waar je antwoorden op veelgestelde vragen kunt vinden, onze uitgebreide beveiligingspraktijken kunt verkennen en onze nalevingsdocumentatie kunt openen en downloaden, zoals een SOC 2 Type II-rapport of een ISO 27001-certificaat.

Ga naar het Trust Center van Figma

Ontworpen voor veiligheid en privacy

Lees meer over Figma's certificeringen, frameworks en complianceprogramma's - allemaal zorgvuldig ontworpen om de gegevens en privacy van onze klanten te beschermen.

Dia 1 van 7

SOC 2 Type 2 / SOC 3

SOC 2 Type 2 / SOC 3

Figma heeft een SOC 2 Type 2 rapport dat onze inzet toont voor het beschermen van klantgegevens door middel van optimale beveiliging, beschikbaarheid en vertrouwelijkheidscontroles in overeenstemming met de AICPA Trust Services Criteria. Daarnaast kan iedereen ons SOC 3-rapport downloaden, dat een samenvatting van het SOC 2-rapport bevat, samen met de beoordeling van een onafhankelijke derde partij over hoe effectief we deze controles implementeren en uitvoeren.

Bereik

Product: Figma Design, FigJam, Dev Mode

Regio: Verenigde Staten, Europese Unie (zie Bestandshosting in de EU)

Criteria voor vertrouwensdiensten: Beveiliging, beschikbaarheid, vertrouwelijkheid

Meest recente auditperiode: 5 december 2024

Het SOC 2-rapport kan gedownload worden in Figma's Trust Center.

ISO

ISO27001/ISO27701/ISO27017/ISO27018

De Internationale Organisatie voor Standaardisatie (ISO) heeft een reeks normen ontwikkeld voor informatie- en maatschappelijke beveiliging, bedoeld om organisaties te ondersteunen bij het creëren van betrouwbare en vertrouwde producten en diensten. Figma heeft haar producten en diensten gecertificeerd volgens ISO/IEC 27001:2022 en ISO/IEC 27018:2019, en stelt haar Figma ISO-certificaat beschikbaar voor download.

Bereik

Product: Figma Design, FigJam, Dev Mode

Regio: Verenigde Staten, Europese Unie (zie File Hosting in the EU)

Datum van meest recente uitgave: 5 december 2024

EU-gedragscode voor de cloud

EU-gedragsregels voor de cloud: niveau 2

De EU Cloud Code of Conduct vertaalt de GDPR-vereisten naar praktische richtlijnen voor cloudserviceproviders en biedt cloudspecifieke benaderingen, aanbevelingen en een stappenplan in navolging van GDPR en internationale normen zoals ISO 27001 en ISO 27018. Figma certificeert zichzelf voor niveau 2 van de Code met het beoordelingsrapport dat gedownload kan worden in zowel het EU Cloud Code of Conduct Register als het CSA STAR-register.

Bereik

Product: Figma Design, FigJam, Dev Mode

Regio: Verenigde Staten, Europese Unie (zie File Hosting in the EU)

Blog: Designing in the cloud with confidence (20 september 2022)

Adherentie-ID: 2022LVL02SCOPE4114

TISAX

Trusted Information Security Assessment Exchange (TISAX)

Trusted Information Security Assessment Exchange (TISAX) is een Europese standaardcatalogus voor informatiebeveiligingsbeoordelingen (ISA) in de auto-industrie, gebaseerd op de belangrijkste aspecten van informatiebeveiliging en de vereisten van de internationale norm ISO 27001. De vermelding van Figma op TISAX is te vinden met de volgende gegevens:

Bedrijfsnaam: Figma, Inc.

Beoordelings-ID: AV01AK-2

Scope-ID: S3XH77

Let op: TISAX en TISAX-resultaten zijn niet bedoeld voor het algemene publiek.

PCI-DSS (Merchant)

PCI-DSS (Merchant)

De Payment Card Industry Data Security Standard (PCI-DSS) is een reeks beveiligingsnormen om ervoor te zorgen dat alle bedrijven die creditcardgegevens accepteren, verwerken, opslaan of verzenden, een veilige omgeving behouden. PCI-DSS is van toepassing op zowel handelaren als dienstverleners die kaarthoudergegevens opslaan, verwerken of verzenden (via een van de vijf hierboven genoemde kaartuitgevers). Als handelaar voldoet Figma aan de PCI-DSS-normen en voltooien we jaarlijks een PCI Self-Assessment Questionnaire (SAQ) A.

Cloud Security Alliance (CSA)

Cloud Security Alliance (CSA) STAR: Niveau 1

De Cloud Security Alliance (CSA) is een non-profitorganisatie die best practices voor beveiligingsgaranties binnen cloudcomputing bevordert en een Security, Trust, and Assurance Registry (STAR)-programma aanbiedt waarmee cloudproviders hun beveiligingscontroles kunnen documenteren. Figma voltooit ten minste jaarlijks de Consensus Assessments Initiative Questionnaire (CAIQ) op basis van de Cloud Controls Matrix (CCM) om klanten zekerheid te bieden over onze beveiligings- en nalevingspositie, inclusief de bijbehorende voorschriften, normen en kaders. We raden (potentiële) klanten ten zeerste aan om onze CAIQ te downloaden en te bekijken voordat ze ons vragen om een aangepaste beveiligingsvragenlijst in te vullen.

ProcessUnity Global Risk Exchange (voorheen CyberGRX)

Global Risk Exchange (voorheen CyberGRX)

Het Global Risk Exchange (voorheen CyberGRX) is een platform voor risicobeheer van derden, ontworpen om organisaties te helpen bij het beoordelen, monitoren en mitigeren van risico's die verband houden met hun externe leveranciers. Figma voert minstens jaarlijks een Tier 1-beoordeling uit en stelt deze resultaten beschikbaar voor klanten via het ProcessUnity GRX-portaal. We moedigen (potentiële) klanten sterk aan om onze Tier 1-beoordeling te bekijken, aangezien we de tijd en zorgvuldigheid hebben genomen om deze beoordeling te voltooien en gedetailleerde informatie beschikbaar te stellen over onze beveiligings- en privacymaatregelen.

SOC 2 Type 2 / SOC 3

Bereik

Product: Figma Design, FigJam, Dev Mode

Regio: Verenigde Staten, Europese Unie (zie Bestandshosting in de EU)

Criteria voor vertrouwensdiensten: Beveiliging, beschikbaarheid, vertrouwelijkheid

Meest recente auditperiode: 5 december 2024

Het SOC 2-rapport kan gedownload worden in Figma's Trust Center.

Figma voor de publieke sector

Design betere ervaringen voor burgers

Moderniseer de manier waarop teams brainstormen, ontwerpen en bouwen bij de publieke sector. Werk samen op een platform dat is ontworpen om te voldoen aan de beveiligings- en creativiteitsbehoeften van overheidsinstanties.

Meer informatie over Figma voor de publieke sector

Jouw privacyrechten zijn belangrijk voor ons

Figma zorgt ervoor dat alle persoonlijke gegevens voldoen aan de AVG van de EU en de California Consumer Privacy Act (CCPA). Ga naar het Privacy & Trust Center van Figma voor meer informatie.

Lees over Figma-beveiliging

Apparaatvertrouwen afdwingen bij codewijzigingen

Zo heeft het security engineering team van Figma commit-handtekeningen en Okta Device Trust-certificaten gebruikt om GitHub-releasebranches te beschermen.

Ontdek hoe

Figma neemt deel aan de TISAX-beoordeling voor de Europese auto-industrie

Bij Figma is het ons doel om klanten te helpen opvallende producten te maken, ongeacht hun sector. TISAX biedt productontwerpers gemoedsrust, dat hun ontwerpwerk veilig wordt beheerd en aan de normen voldoet.

Meer lezen

Server-side sandboxing: containers en seccomp

Containers en secure computing mode (seccomp) zijn basisinstrumenten voor sandboxing die een lichter alternatief bieden voor virtuele machines (VM's). Hier bespreken we de verschillen en hoe we ze allebei gebruiken bij Figma om beveiligingsisolatie te bereiken.

Lees meer

Veelgestelde vragen over beveiliging en naleving

Ontdek Figma voor jouw organisatie

Neem contact op met sales