Lihat versi sebelumnya dari dokumen ini dan kebijakan lainnya dalam Arsip Kebijakan(terbuka di tab atau jendela baru) kami.
Pernyataan terkait Langkah-Langkah Teknis dan Organisasi ini disertakan ke dalam Adendum Pemrosesan Data kami sebagai referensi. Pernyataan ini menjelaskan standar keamanan minimum yang diterapkan Canva pada Layanan Canva berdasarkan Perjanjian Layanan Berlangganan(terbuka di tab atau jendela baru). Istilah-istilah dalam huruf besar yang digunakan tetapi tidak didefinisikan dapat dilihat dalam Pernyataan terkait Langkah-Langkah Teknis dan Organisasi ini di Adendum Pemrosesan Data(terbuka di tab atau jendela baru), termasuk “Data” (hanya terbatas pada data pelanggan perusahaan guna menghindari keraguan, kecuali ditentukan lain dalam perjanjian Anda dengan kami).
1. Langkah-langkah penyamaran nama dan enkripsi data pribadi
Canva mengenkripsi Data yang dikirimkan antara pelanggan dan aplikasi Canva melalui jaringan publik menggunakan TLS 1.2 atau lebih tinggi. Data Pelanggan yang disimpan di server Canva dienkripsi menggunakan AES 256 atau lebih kuat.
2. Langkah-langkah untuk memastikan kerahasiaan, integritas, ketersediaan, dan ketahanan sistem pemrosesan dan layanan saat ini
Canva memiliki personel yang bertanggung jawab mengawasi keamanan dan privasi. Canva juga menginstruksikan Kepala Keamanan, Privasi dan Data, serta Komite Keamanan Informasi yang ditunjuk untuk bertemu setiap triwulan guna membahas risiko privasi dan keamanan yang dikelola dalam daftar risikonya.
3. Langkah-langkah untuk memastikan kemampuan pemulihan ketersediaan dan akses ke data pribadi secepatnya jika terjadi insiden fisik atau teknis
Untuk mendukung ketersediaan layanan, Canva memanfaatkan penskalaan otomatis Amazon Web Services (AWS), zona ketersediaan AWS, pemantauan aplikasi & infrastruktur yang ekstensif, dan data tim dukungan aplikasi 24/7.
Canva menyimpan cadangan data yang disimpan, termasuk Data Pelanggan, yang mendukung fungsi inti aplikasi Canva. Cadangan disimpan di lokasi yang berbeda dari lokasi penyimpanan data utama.
Canva memiliki kemampuan untuk merespons insiden keamanan yang mencakup Rencana Respons Insiden Data Pribadi yang terdokumentasi untuk insiden keamanan yang melibatkan Data. Dokumen ini menjelaskan cara kami menangani, merespons, menilai, menginformasikan insiden, serta peran & tanggung jawab personel Canva, dan persyaratan untuk peninjauan pascainsiden.
4. Proses untuk menguji, menilai, dan mengevaluasi efektivitas langkah-langkah teknis dan organisasi secara berkala guna memastikan keamanan pemrosesan
Canva melibatkan penguji keamanan spesialis dari pihak ketiga untuk melakukan uji penetrasi terhadap aplikasi dan infrastrukturnya setiap tahun. Canva juga menggunakan layanan pemindaian kerentanan aplikasi pihak ketiga dan menjalankan program pemburu bug untuk publik.
5. Langkah-langkah identifikasi dan otorisasi pengguna
Jika akun Pelanggan mengandung kata sandi untuk autentikasi, Canva menyimpan kata sandi tersebut serta menerapkan salt dan hash menggunakan fungsi hashing kata sandi berstandar industri. Canva mendukung integrasi Sistem Masuk Tunggal (SSO) dengan penyedia identitas pelanggan menggunakan Security Assertion Markup Language (SAML).
6. Langkah-langkah perlindungan data selama transmisi
Seperti dijelaskan pada poin nomor 1, Canva mengenkripsi Data yang dikirimkan antara pelanggan dan aplikasi Canva melalui jaringan publik menggunakan TLS 1.2 atau lebih tinggi.
7. Langkah-langkah perlindungan data selama penyimpanan
Seperti dijelaskan pada poin nomor 1, Data Pelanggan yang disimpan di server Canva dienkripsi menggunakan AES 256 atau lebih kuat
8. Langkah-langkah untuk memastikan keamanan fisik lokasi tempat data pribadi diproses
Layanan ini dihosting dan Data disimpan dalam pusat data yang disediakan oleh Amazon Web Services (AWS). Dengan demikian, Canva mengandalkan kontrol fisik, lingkungan, dan infrastruktur AWS. Secara berkala, Canva meninjau sertifikasi dan pengesahan pihak ketiga terkait efektivitas kontrol pusat data yang disediakan oleh AWS .
9. Langkah-langkah untuk memastikan pencatatan peristiwa
Canva menyimpan log audit keamanan aplikasi dan infrastruktur. Log audit dianalisis untuk mendeteksi adanya anomali.
10. Langkah-langkah untuk memastikan konfigurasi sistem, termasuk konfigurasi default
Canva memperkuat infrastruktur servernya menggunakan standar penguatan berdasarkan standar industri umum. Canva menerapkan patch keamanan pada servernya sesuai dengan Prosedur Pengelolaan Kerentanannya.
11. Langkah-langkah tata kelola serta pengelolaan keamanan internal IT dan IT
Akses yang dimiliki staf Canva ke Data Pelanggan berbasis peran dan mengikuti prinsip hak istimewa paling rendah. Staf hanya diberikan akses yang memadai ke Data Pelanggan agar dapat melaksanakan tanggung jawab mereka secara efektif. Akses jaringan jarak jauh ke sistem Canva memerlukan komunikasi terenkripsi melalui protokol yang aman dan penggunaan autentikasi multifaktor. Canva telah menetapkan dan akan terus menggunakan prosedur pengelolaan kata sandi untuk personelnya. Prosedur ini dirancang untuk memastikan kata sandi bersifat pribadi bagi setiap individu, dan tidak dapat diakses oleh orang yang tidak berwenang, termasuk minimal:
- melindungi kata sandi secara kriptografis ketika disimpan dalam sistem komputer atau saat dikirimkan melalui jaringan;
- mengubah kata sandi default dari vendor; dan
- edukasi mengenai kriteria kata sandi yang baik.
Akses yang dimiliki staf ke infrastruktur produksi memerlukan autentikasi multifaktor (MFA).
Staf Canva tunduk pada kewajiban kerahasiaan dan Kebijakan Penanganan Data Pribadi. Canva mewajibkan stafnya untuk menjalani pelatihan kepedulian terhadap keamanan informasi, pada awal masa kerja mereka maupun setiap tahun setelahnya. Canva juga mewajibkan stafnya untuk menjalani pelatihan hukum privasi setiap tahun (termasuk mematuhi peraturan COPPA dan FERPA terkait data siswa).
Canva telah menerapkan praktik privasi sejak teknologi dirancang, termasuk namun tidak terbatas pada, penilaian dampak privasi.
12. Langkah-langkah untuk sertifikasi/jaminan proses dan produk
Canva akan mempertahankan sertifikasi ISO 27001, menjalani pengawasan eksternal dan audit sertifikasi ulang berkala untuk memastikan Sistem Manajemen Keamanan Informasi (ISMS) memenuhi persyaratan standar ini.
Canva akan mempertahankan kebijakan keamanan informasi yang memenuhi persyaratan standar ISO 27001, program audit internal yang menilai ISMS serta kontrol keamanan informasi Canva, dan komite manajemen yang bertanggung jawab untuk mengawasi Sistem Manajemen Keamanan Informasi (ISMS) Canva.
13. Langkah-langkah untuk memastikan minimalisasi data
Di Canva, pengunjung dapat menggunakan fungsi tertentu platform ini secara anonim dan meminimalkan Data yang diperlukan dari Pelanggan menjadi hanya data yang diperlukan untuk menyediakan layanan yang diminta.
14. Langkah-langkah untuk memastikan kualitas data
Canva memastikan kualitas datanya melalui verifikasi email untuk pendaftaran ke platform canva.com. Di Canva, pengguna juga dapat memperbarui informasi di akun mereka, atau melalui permintaan ke fitur dukungan pelanggannya, Tim Kepuasan Pelanggan.
15. Langkah-langkah untuk memastikan retensi data terbatas
Canva menerapkan Kebijakan Penyimpanan Data yang menetapkan periode penyimpanan untuk berbagai jenis data berdasarkan persyaratan hukum, kepentingan Canva, dan tujuan pengumpulan.
16. Langkah-langkah untuk memastikan akuntabilitas
Canva telah menunjuk perwakilan lokal di Eropa dan Inggris Raya. Perwakilan lokal Canva di Wilayah Ekonomi Eropa adalah EDPO (European Data Protection Office) dengan alamat terdaftar di Avenue Huart Hamoir 71, 1030 Brussels, Belgia. Perwakilan lokal kami di Inggris Raya adalah EDPO UK (European Data Protection Office UK) dengan alamat terdaftar di 8 Northumberland Avenue, London WC2N 5BY, Inggris Raya. Penilaian Dampak Perlindungan Data dilakukan untuk aktivitas pemrosesan berisiko tinggi dan Canva menyimpan catatan aktivitas pemrosesannya.
17. Langkah-langkah untuk mengizinkan portabilitas data dan memastikan penghapusan
Canva memiliki proses otomatis untuk menghapus Data Pelanggan berdasarkan permintaan dalam waktu 28 hari dan memungkinkan pengunduhan Data Pelanggan untuk diberikan kepada penyedia layanan alternatif.