Come posso segnalare una potenziale vulnerabilità di sicurezza nei prodotti Figma?

Figma ha predisposto un Programma Bug Bounty che permette ai ricercatori di sicurezza e ai clienti di testare le nostre applicazioni per individuare eventuali problemi di sicurezza, seguendo le linee guida del nostro programma.

Dove posso visualizzare e scaricare i report di audit indipendenti di terze parti (ad esempio, SOC 2 Tipo II) e i certificati (ad esempio, il certificato ISO 27001)?

I clienti e i potenziali clienti possono scaricare i nostri report di audit indipendenti di terze parti (ad esempio, SOC 2 Tipo II) e i certificati (ad esempio, il certificato ISO 27001) dal nostro Trust Center.

Siete disponibili a compilare il mio questionario di sicurezza?

Sappiamo che molti clienti adottano un processo di Gestione del rischio dei fornitori per i servizi cloud come Figma. Per offrire il nostro supporto, abbiamo creato un Trust Center per garantire la trasparenza sui nostri controlli di sicurezza e sulla protezione dei dati dei clienti. Include inoltre questionari standard di settore precompilati (ad esempio, CSA CAIQ, SIG Lite), una knowledge base che riunisce oltre 500 domande e risposte, oltre a report di audit di terze parti (ad esempio, SOC 2 Tipo II) e certificati (ad esempio, ISO 27001). Si prega di consultare queste risorse prima di richiedere un questionario di sicurezza personalizzato. Grazie!

Quali sono gli standard di sicurezza di Figma?

I nostri standard di sicurezza sono riportati nell'Allegato C del nostro Contratto per i servizi software.

Figma si rivolge a sub-responsabili terzi?

Sì, Figma si rivolge a sub-responsabili terzi per ospitare i dati dei clienti, fornire un'infrastruttura che supporti la consegna dei nostri servizi o eseguire altre funzioni di servizio.

Il team di sicurezza di Figma esamina i risultati delle piattaforme di valutazione del rischio di terze parti (ad esempio, SecurityScorecard, Bitsight)?

Comprendiamo che molte organizzazioni utilizzano piattaforme di valutazione del rischio di terze parti per la due diligence sulla sicurezza. Tuttavia, abbiamo osservato che queste piattaforme spesso generano risultati inaffidabili e sbagliati, e affrontare questi errori è costoso e distoglie l'attenzione da importanti attività di sicurezza informatica. Pertanto, la nostra politica è quella di non rispondere sempre alle richieste o ai risultati provenienti da queste piattaforme. Questo approccio ci permette di focalizzare le nostre risorse di sicurezza informatica su ciò che è veramente importante per Figma e i nostri clienti.

Dove posso approfondire le politiche di Figma in merito all'AI?

Per maggiori informazioni, visita la pagina sull'approccio di Figma all'AI.

Sicurezza e conformità in Figma

Figma consente ai team di sviluppare prodotti migliori, garantendo una sicurezza di livello aziendale in ogni fase del processo. Il nostro team dedicato alla sicurezza garantisce che i tuoi dati siano protetti e che i tuoi obblighi di sicurezza e conformità siano soddisfatti attraverso audit continui, misure di tutela della privacy e un'efficace infrastruttura di sicurezza.

La scelta dei team di

Trova ciò di cui hai bisogno nel Trust Center di Figma

Figma mette a disposizione un Trust Center dove puoi trovare tutte le risposte alle domande più frequenti, approfondire le nostre estese pratiche di sicurezza, ma anche consultare e scaricare la nostra documentazione di conformità, come un report SOC 2 Tipo II o un certificato ISO 27001.

Visita il Trust Center di Figma

Sicurezza e privacy integrate nel design

Scopri di più sulle certificazioni, i framework e i programmi di conformità di Figma, tutti accuratamente progettati per proteggere i dati e la privacy dei nostri clienti.

Diapositiva 1 di 7

SOC 2 Tipo 2/SOC 3

SOC 2 Tipo 2/SOC 3

Figma dispone di un report SOC 2 Tipo 2 che dimostra il nostro impegno nella protezione dei dati dei clienti tramite efficaci controlli di sicurezza, disponibilità e riservatezza, in conformità con i criteri TSC (Trust Services Criteria) dell'AICPA. Inoltre, chiunque può scaricare il nostro report SOC 3, che include un riassunto del report SOC 2 insieme alla valutazione di un revisore indipendente di terze parti sull'efficacia con cui implementiamo e gestiamo questi controlli.

Ambito

Prodotto: Figma Design, FigJam, Dev Mode

Area geografica: Stati Uniti, Unione Europea (vedi hosting dei file nell'UE)

Criteri TSC (Trust Services Criteria): sicurezza, disponibilità, riservatezza

Periodo di audit più recente: 5 dicembre 2024

Il report SOC 2 è disponibile per il download nel Trust Center di Figma.

ISO

ISO27001/ISO27701/ISO27017/ISO27018

L'Organizzazione internazionale per la standardizzazione (ISO) ha sviluppato una serie di standard per la sicurezza delle informazioni e la sicurezza sociale, progettati per assistere le organizzazioni nella creazione di prodotti e servizi affidabili e sicuri. Figma ha certificato i suoi prodotti e servizi secondo ISO/IEC 27001:2022 e ISO/IEC 27018:2019, e rende disponibile il suo certificato ISO Figma per il download.

Ambito

Prodotto: Figma Design, FigJam, Dev Mode

Area geografica: Stati Uniti, Unione Europea (vedi hosting dei file nell'UE)

Data di emissione più recente: 5 dicembre 2024

Codice di condotta per il cloud dell'UE

Codice di condotta per il cloud dell'UE: Livello 2

Il Codice di condotta per il cloud dell'UE (EU Cloud Code of Conduct) traduce i requisiti del GDPR in linee guida pratiche per i fornitori di servizi cloud, offrendo approcci specifici per il cloud, raccomandazioni e una roadmap che si allinea con il GDPR e con standard internazionali come ISO 27001 e ISO 27018. Figma si certifica per il Livello 2 del Codice con il suo report di valutazione disponibile per il download sia nel Registro del Codice di condotta per il cloud dell'UE che nel Registro STAR della CSA.

Ambito

Prodotto: Figma Design, FigJam, Dev Mode

Area geografica: Stati Uniti, Unione Europea (vedi hosting dei file nell'UE)

Blog: Designing in the cloud with confidence (20 settembre 2022)

ID di adesione: 2022LVL02SCOPE4114

TISAX

Trusted Information Security Assessment Exchange (TISAX)

Il Trusted Information Security Assessment Exchange (TISAX) è un catalogo di valutazione della sicurezza delle informazioni (ISA) standard europeo per l'industria automobilistica basato su aspetti chiave della sicurezza delle informazioni e sui requisiti dello standard internazionale ISO 27001. La registrazione di Figma al TISAX può essere trovata utilizzando i seguenti dettagli:

Nome dell'Azienda: Figma, Inc.

ID valutazione: AV01AK-2

ID ambito: S3XH77

Nota: TISAX e i relativi risultati non sono destinati al grande pubblico.

PCI-DSS (commerciante)

PCI-DSS (commerciante)

Il Payment Card Industry Data Security Standard (PCI-DSS) è un insieme di standard di sicurezza progettati per garantire che tutte le aziende che accettano, elaborano, archiviano o trasmettono informazioni sulle carte di credito mantengano un ambiente sicuro. Il PCI-DSS si applica sia ai commercianti che ai fornitori di servizi che memorizzano, elaborano o trasmettono i dati dei titolari delle carte (tramite uno dei cinque emittenti di carte sopra menzionati). In qualità di Commerciante, Figma è conforme al PCI-DSS e completa annualmente il Questionario di autovalutazione PCI (SAQ) A.

Cloud Security Alliance (CSA)

Cloud Security Alliance (CSA) STAR: Livello 1

La Cloud Security Alliance (CSA) è un'organizzazione senza scopo di lucro che promuove le migliori pratiche per garantire la sicurezza nel cloud computing, e offre un programma Security, Trust, and Assurance Registry (STAR) progettato per i fornitori di servizi cloud, per documentare i loro controlli di sicurezza. Almeno una volta all'anno, Figma completa il Consensus Assessments Initiative Questionnaire (CAIQ) basato sulla Cloud Controls Matrix (CCM) per fornire ai clienti garanzie sul nostro profilo di sicurezza e conformità, inclusi i regolamenti, gli standard e i framework a cui aderiamo. Incoraggiamo vivamente i clienti e i potenziali clienti a scaricare e consultare il nostro CAIQ prima di richiederci di compilare un questionario di sicurezza personalizzato.

ProcessUnity Global Risk Exchange (precedentemente CyberGRX)

Global Risk Exchange (precedentemente CyberGRX)

Il Global Risk Exchange (precedentemente CyberGRX) è una piattaforma di gestione del rischio di terze parti progettata per aiutare le organizzazioni a valutare, monitorare e mitigare i rischi associati ai fornitori terzi. Almeno una volta all'anno, Figma completa una Valutazione di Livello 1 e rende disponibili i relativi risultati ai clienti sul portale ProcessUnity GRX. Incoraggiamo fortemente i clienti e i potenziali clienti a esaminare la nostra Valutazione di Livello 1, in quanto abbiamo dedicato tempo e impegno per completarla e fornire dettagli approfonditi sui nostri controlli di sicurezza e privacy.

SOC 2 Tipo 2/SOC 3

Ambito

Prodotto: Figma Design, FigJam, Dev Mode

Area geografica: Stati Uniti, Unione Europea (vedi hosting dei file nell'UE)

Criteri TSC (Trust Services Criteria): sicurezza, disponibilità, riservatezza

Periodo di audit più recente: 5 dicembre 2024

Il report SOC 2 è disponibile per il download nel Trust Center di Figma.

Figma for Government

Progetta esperienze migliori per i cittadini

Modernizza il modo in cui i team fanno brainstorming, progettano e costruiscono nel settore pubblico. Collabora su una piattaforma progettata per soddisfare le esigenze di sicurezza e creatività degli enti pubblici.

Scopri Figma for Government

I tuoi diritti alla privacy sono importanti per noi

Figma garantisce che tutti i dati personali siano conformi al GDPR dell'UE e al California Consumer Privacy Act (CCPA). Per maggiori informazioni, visita il Privacy & Trust Center di Figma.

Scopri di più sulla sicurezza di Figma

Controllo dell'attendibilità dei dispositivi in caso di modifiche al codice

Ecco come il team di ingegneria della sicurezza di Figma ha utilizzato le firme dei commit e i certificati Okta Device Trust per proteggere le diramazioni delle versioni di GitHub.

Scopri come

Figma aderisce alla valutazione TISAX per l'industria automobilistica europea

Noi di Figma amiamo aiutare i nostri clienti a realizzare prodotti eccezionali, indipendentemente dal settore in cui operano. Il TISAX offre ai designer di prodotti la tranquillità di sapere che il loro lavoro di progettazione è gestito in modo sicuro e conforme alle normative.

Scopri di più

Sandboxing lato server: container e seccomp

I container e la modalità di calcolo sicuro (seccomp) sono strumenti base di sandboxing che offrono un'alternativa più leggera alle macchine virtuali (VM). Qui spieghiamo le differenze tra i due e come li utilizziamo in Figma per garantire un isolamento sicuro.

FAQ su sicurezza e conformità

Esplora Figma per la tua organizzazione

Contatta il team commerciale