Como faço para relatar uma possível vulnerabilidade de segurança nos produtos Figma?

A Figma tem um programa de caça a bugs que permite que pesquisadores e clientes de segurança testem nossos aplicativos em busca de problemas de segurança, seguindo as diretrizes do programa.

Onde posso visualizar e baixar seus relatórios de auditoria independente de terceiros (por exemplo, SOC 2 Tipo II) e certificados (por exemplo, certificado ISO 27001)?

Clientes e possíveis clientes podem baixar nossos relatórios de auditoria independente de terceiros (por exemplo, SOC 2 Tipo II) e certificados (por exemplo, certificado ISO 27001) na Central de Confiança.

Vocês podem preencher meu questionário de segurança?

Sabemos que muitos clientes têm um processo de Gerenciamento de Risco de Fornecedores para serviços em nuvem como o Figma. Por isso, criamos uma Central de Confiança para garantir transparência sobre nossos controles de segurança e proteção de dados dos clientes. Lá, é possível encontrar questionários padrão do setor pré-preenchidos (por exemplo, CSA CAIQ, SIG Lite), mais de 500 perguntas e respostas da base de conhecimento e relatórios de auditoria de terceiros (por exemplo, SOC 2 Tipo II) e certificados (por exemplo, ISO 27001). Revise esses recursos antes de solicitar um questionário de segurança personalizado. Obrigado!

Quais são os padrões de segurança do Figma?

Você pode encontrar nossos padrões de segurança no Anexo C do nosso Acordo de Serviços de Software.

O Figma utiliza subprocessadores de terceiros?

Sim, o Figma contrata subprocessadores de terceiros para hospedar dados de clientes, fornecer infraestrutura que ajuda na disponibilização dos nossos serviços ou realizar outras funções de serviço.

A equipe de segurança analisa as detecções das plataformas de avaliação de risco de terceiros (por exemplo, SecurityScorecard, Bitsight)?

Compreendemos que muitas organizações utilizam plataformas de avaliação de risco de terceiros para auditoria de segurança. No entanto, observamos que essas plataformas frequentemente geram resultados não confiáveis e incorretos, e corrigir essas falhas é caro e desvia a atenção do trabalho crucial de segurança cibernética. Portanto, nossa política é não responder sempre a consultas ou detecções dessas plataformas. Com essa abordagem, podemos concentrar nossos recursos de cibersegurança no que realmente importa para o Figma e nossos clientes.

Onde posso obter mais informações sobre as políticas de IA do Figma?

Para saber mais, acesse a página de abordagem do Figma para IA.

Segurança e conformidade do Figma

O Figma ajuda as equipes a desenvolver produtos melhores, com segurança de nível empresarial em cada etapa do caminho. Nossa equipe de segurança dedicada garante que seus dados estejam protegidos e que suas obrigações de segurança e conformidade sejam cumpridas por meio de auditorias contínuas, salvaguardas de privacidade e uma infraestrutura de segurança robusta.

Confiado por equipes em

Encontre o que você precisa na Central de Confiança do Figma

O Figma tem uma Central de Confiança, onde você pode encontrar respostas para perguntas frequentes e explorar nossas práticas de segurança abrangentes, além de acessar e baixar nossa documentação de conformidade, como um relatório SOC 2 Tipo II ou um Certificado ISO 27001.

Acesse a Central de Confiança do Figma

Segurança e privacidade por padrão

Saiba mais sobre os programas de conformidade, certificações e estruturas do Figma, todos meticulosamente projetados para proteger os dados e a privacidade de nossos clientes.

Slide 1 de 7

SOC 2 Tipo 2 / SOC 3

SOC 2 Tipo 2 / SOC 3

O Figma tem um relatório SOC 2 Tipo 2 que demonstra nosso compromisso em proteger os dados dos clientes por meio de controles de segurança robustos, disponibilidade e confidencialidade alinhados com os Critérios de Serviços de Confiança da AICPA. Além disso, qualquer pessoa pode baixar nosso Relatório SOC 3, que inclui um resumo do relatório SOC 2, além da avaliação de um auditor independente sobre a eficácia com que implementamos e operamos esses controles.

Escopo

Produtos: Figma Design, FigJam, Dev Mode

Região: Estados Unidos, União Europeia (consulte Hospedagem de arquivos na UE)

Critérios de serviços de confiança: Segurança, Disponibilidade, Confidencialidade

Período de auditoria mais recente: 5 de dezembro de 2024

O relatório SOC 2 está disponível para download na Central de Confiança do Figma.

ISO

ISO27001/ISO27701/ISO27017/ISO27018

A Organização Internacional para Padronização (ISO) desenvolveu uma série de normas para a segurança da informação e da sociedade, destinadas a ajudar as organizações a criar produtos e serviços confiáveis e de confiança. O Figma certificou seus produtos e serviços conforme ISO/IEC 27001:2022 e ISO/IEC 27018:2019, e disponibiliza seu certificado ISO da Figma para download.

Escopo

Produtos: Figma Design, FigJam, Dev Mode

Região: Estados Unidos, União Europeia (consulte Hospedagem de arquivos na UE)

Data de emissão mais recente: 5 de dezembro de 2024

Código de Conduta para Nuvem da UE

EU Cloud Code of Conduct: Nível 2

O Código de Conduta para Nuvem da UE transforma os requisitos do GDPR em diretrizes práticas para Provedores de Serviços em Nuvem, oferecendo abordagens específicas para a nuvem, recomendações e um roteiro que está em conformidade com o GDPR e padrões internacionais como ISO 27001 e ISO 27018. O Figma se certifica no Nível 2 do Código, e o relatório de avaliação está disponível para download tanto no Registro do Código de Conduta para Nuvem da UE quanto no Registro CSA STAR.

Escopo

Produtos: Figma Design, FigJam, Dev Mode

Região: Estados Unidos, União Europeia (consulte Hospedagem de arquivos na UE)

Blog: Criando designs em nuvem com confiança (20 de setembro de 2022)

ID de adesão: 2022LVL02SCOPE4114

TISAX

Trusted Information Security Assessment Exchange (TISAX)

O Trusted Information Security Assessment Exchange (TISAX) é um catálogo padrão do setor automotivo europeu para avaliação de segurança da informação (ISA), fundamentado nos principais aspectos da segurança da informação e nos requisitos da norma internacional ISO 27001. A ficha da Figma no TISAX pode ser encontrada usando as informações a seguir:

Nome da empresa: Figma, Inc.

ID da avaliação: AV01AK-2

ID do escopo: S3XH77

Observe que o TISAX e seus resultados não se destinam ao público geral.

PCI-DSS (Comerciante)

PCI-DSS (Comerciante)

O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS) é um conjunto de normas de segurança projetadas para garantir que todas as empresas que aceitam, processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente seguro. O PCI-DSS aplica-se tanto a comerciantes quanto a prestadores de serviços que armazenam, processam ou transmitem dados de titulares de cartões (através de uma das cinco emissoras de cartões mencionadas acima). Como comerciante, a Figma está em conformidade com o PCI-DSS e completa anualmente o Questionário de Autoavaliação PCI (SAQ) A.

Cloud Security Alliance (CSA)

Cloud Security Alliance (CSA) STAR: Nível 1

A Cloud Security Alliance (CSA) é uma organização sem fins lucrativos que promove as melhores práticas para a segurança na computação em nuvem e oferece um programa chamado Security, Trust, and Assurance Registry (STAR), projetado para que os provedores de nuvem documentem seus controles de segurança. Todo ano, o Figma completa o Consensus Assessments Initiative Questionnaire (CAIQ) com base na Cloud Controls Matrix (CCM) para fornecer aos clientes garantia sobre nossa postura de segurança e conformidade, incluindo os regulamentos, normas e estruturas que seguimos. Recomendamos que clientes e possíveis clientes baixem e revisem nosso CAIQ antes de solicitar o preenchimento de um questionário de segurança personalizado.

ProcessUnity Global Risk Exchange (antiga CyberGRX)

Global Risk Exchange (antiga CyberGRX)

A Global Risk Exchange (antiga CyberGRX) é uma plataforma de gerenciamento de riscos de terceiros projetada para ajudar as organizações a avaliar, monitorar e mitigar os riscos associados aos seus fornecedores terceirizados. Pelo menos uma vez por ano, a Figma conclui uma Avaliação de Nível 1 e disponibiliza esses resultados aos clientes através do portal ProcessUnity GRX. Recomendamos que clientes e possíveis clientes revisem nossa Avaliação de Nível 1, pois dedicamos tempo e empenho para completar essa avaliação e fornecer detalhes aprofundados sobre nossos controles de segurança e privacidade.

SOC 2 Tipo 2 / SOC 3

Escopo

Produtos: Figma Design, FigJam, Dev Mode

Região: Estados Unidos, União Europeia (consulte Hospedagem de arquivos na UE)

Critérios de serviços de confiança: Segurança, Disponibilidade, Confidencialidade

Período de auditoria mais recente: 5 de dezembro de 2024

O relatório SOC 2 está disponível para download na Central de Confiança do Figma.

Figma para Governos

Crie melhores experiências para os cidadãos

Modernize a maneira como as equipes fazem brainstorm, criam e desenvolvem no governo. Colabore em uma plataforma projetada para atender às necessidades de segurança e criatividade das agências governamentais.

Saiba mais sobre o Figma para Governos

Seus direitos de privacidade são importantes para nós

O Figma assegura que todos os dados pessoais estejam em conformidade com o Regulamento Geral de Proteção de Dados (GDPR) da UE e a Lei de Privacidade do Consumidor da Califórnia (CCPA). Para saber mais, acesse a Central de Privacidade e Confiança do Figma.

Leia sobre a segurança do Figma

Aplicando confiança no dispositivo em alterações de código

Veja como a equipe de engenharia de segurança do Figma utilizou assinaturas de commit e certificados Okta Device Trust para proteger os rascunhos de lançamentos do GitHub.

Descubra como

O Figma participa da avaliação TISAX para a indústria automotiva europeia.

No Figma, adoramos ajudar nossos clientes a criar produtos excepcionais, independentemente do setor. Com o TISAX, os designers de produtos podem ficar tranquilos, pois seu trabalho de design será gerenciado de forma segura e em total conformidade.

Saiba mais

Sandboxing no servidor: contêineres e seccomp

Os contêineres e o modo de computação segura (seccomp) são elementos de sandboxing que oferecem uma alternativa mais leve às máquinas virtuais (VMs). Aqui discutimos as diferenças entre eles e como utilizamos ambos no Figma para alcançar isolamento de segurança.

Saiba mais

Perguntas frequentes sobre segurança e conformidade

Explore o Figma para a sua organização

Fale com vendas