Wie melde ich eine potenzielle Sicherheitslücke in Figma-Produkten?

Figma hat ein Bug-Bounty-Programm, das es Sicherheitsforschern und Kunden ermöglicht, unsere Anwendungen gemäß unseren Programmrichtlinien auf Sicherheitsprobleme zu testen.

Wo kann ich Ihre unabhängigen Prüfberichte von Drittanbietern (z. B. SOC 2 Typ II) und Zertifikate (z. B. ISO 27001-Zertifikat) einsehen und herunterladen?

Kunden und Interessenten können unsere unabhängigen Prüfberichte von Drittanbietern (z. B. SOC 2 Typ II) und Zertifikate (z. B. ISO 27001-Zertifikat) in unserem Trust Center herunterladen.

Könnten Sie bitte meinen Sicherheitsfragebogen ausfüllen?

Wir wissen, dass viele Kunden einen Prozess zur Verwaltung von Lieferantenrisiken für Cloud-Dienste wie Figma haben. Um dies zu unterstützen, haben wir ein Trust Center erstellt, das Transparenz über unsere Sicherheitskontrollen und den Schutz der Kundendaten bietet. Es umfasst vorausgefüllte Fragebögen nach Industriestandard (z. B. CSA CAIQ, SIG Lite), über 500 Wissensdatenbankfragen und -antworten sowie Auditberichte von Drittanbietern (z. B. SOC 2 Typ II) und Zertifikate (z. B. ISO 27001). Bitte überprüfen Sie diese Ressourcen, bevor Sie einen benutzerdefinierten Sicherheitsfragebogen anfordern. Vielen Dank!

Was sind die Sicherheitsstandards von Figma?

Sie können unsere Sicherheitsstandards in Anlage C unserer Software-Dienstleistungsvereinbarung finden.

Verwendet Figma Unterauftragsverarbeiter von Drittanbietern?

Ja, Figma beauftragt Drittanbieter-Unterauftragsverarbeiter, um Kundendaten zu hosten, Infrastruktur bereitzustellen, die die Bereitstellung unserer Dienste unterstützt, oder andere Servicefunktionen auszuführen.

Überprüft unser Sicherheitsteam die Ergebnisse von Risikobewertungsplattformen von Drittanbietern (z. B. SecurityScorecard, Bitsight)?

Wir verstehen, dass viele Organisationen Drittanbieter-Plattformen zur Risikobewertung für die Sicherheitsüberprüfung nutzen. Wir haben jedoch festgestellt, dass diese Plattformen häufig unzuverlässige und fehlerhafte Ergebnisse liefern, deren Korrektur kostspielig ist und von wichtigen Aufgaben im Bereich der Cybersicherheit ablenkt. Daher ist es unsere Richtlinie, nicht immer auf Anfragen oder Ergebnisse von diesen Plattformen zu antworten. Dieser Ansatz ermöglicht es uns, unsere Cybersicherheitsressourcen auf das Wesentliche für Figma und unsere Kunden zu konzentrieren.

Wo kann ich mehr über die KI-Richtlinien von Figma erfahren?

Besuche die Seite Figmas Herangehensweise an KI, um mehr zu erfahren.

Figma-Sicherheit und Compliance

Figma befähigt Teams, bessere Produkte zu entwickeln, und bietet dabei auf jedem Schritt Enterprise-grade Sicherheit. Unser engagiertes Sicherheitsteam sorgt dafür, dass Ihre Daten geschützt sind und Ihre Sicherheits- und Compliance-Verpflichtungen durch kontinuierliche Audits, Datenschutzmaßnahmen und eine robuste Sicherheitsinfrastruktur erfüllt werden.

Im Einsatz bei den Teams von

Finden Sie im Figma Trust Center immer genau das, was Sie benötigen

Figma unterhält ein Trust Center, in dem Sie Antworten auf häufig gestellte Fragen finden, unsere umfassenden Sicherheitspraktiken erkunden und auf unsere Compliance-Dokumentation zugreifen und diese herunterladen können – wie einen SOC 2 Typ II-Bericht oder ein ISO 27001-Zertifikat.

Besuchen Sie das Figma Trust Center

Sicher und privat von Grund auf

Erfahren Sie mehr über die Zertifizierungen, Frameworks und Compliance-Programme von Figma, die alle sorgfältig darauf ausgelegt sind, die Daten und die Privatsphäre unserer Kunden zu schützen.

Slide 1 of 7

SOC 2 Type 2 / SOC 3

SOC 2 Type 2 / SOC 3

Figma verfügt über einen SOC 2 Typ 2-Bericht, der unser Engagement zum Schutz von Kundendaten durch robuste Kontrollen von Sicherheit, Verfügbarkeit und Vertraulichkeit belegt, die den Kriterien von AICPA Trust Services entsprechen. Zusätzlich kann jeder unseren SOC-3-Bericht herunterladen, der eine Zusammenfassung des SOC-2-Berichts sowie die Bewertung eines unabhängigen Wirtschaftsprüfers darüber enthält, wie effektiv wir diese Kontrollen implementieren und betreiben.

Geltungsbereich

Produkte: Figma Design, FigJam, Dev Mode

Region: Vereinigte Staaten, Europäische Union (siehe lokalisiertes Datei-Hosting in der EU)

Trust Services-Kriterien: Sicherheit, Verfügbarkeit, Vertraulichkeit

Letzter Prüfungszeitraum: 5. Dezember 2024

Der SOC 2-Bericht ist im Trust Center von Figmazum Herunterladen verfügbar.

ISO

ISO27001/ISO27701/ISO27017/ISO27018

Die Internationale Organisation für Normung (ISO) hat eine Reihe von Standards für Informations- und gesellschaftliche Sicherheit entwickelt, die Organisationen dabei unterstützen sollen, zuverlässige und vertrauenswürdige Produkte und Dienstleistungen zu schaffen. Figma hat seine Produkte und Dienstleistungen gemäß ISO/IEC 27001:2022 und ISO/IEC 27018:2019 zertifiziert und und stellt sein Figma-ISO-Zertifikat zum Herunterladen bereit.

Geltungsbereich

Produkte: Figma Design, FigJam, Dev Mode

Region: Vereinigte Staaten, Europäische Union (siehe lokalisiertes Datei-Hosting in der EU)

Jüngstes Ausgabedatum: 5. Dezember 2024

Verhaltenskodex der EU für Cloud-Dienste

EU Cloud Code of Conduct: Stufe 2

Der EU-Cloud-Verhaltenskodex übersetzt die Anforderungen der DSGVO in praktische Richtlinien für Cloud-Dienstanbieter und bietet Cloud-spezifische Ansätze, Empfehlungen und einen Fahrplan, der mit der DSGVO und internationalen Standards wie ISO 27001 und ISO 27018 übereinstimmt. Figma hat sich selbst nach Level 2 des Kodex zertifiziert, und der Bewertungsbericht steht sowohl im Register des EU-Cloud-Verhaltenskodexes als auch im Register von CSA STAR zum Herunterladen bereit.

Geltungsbereich

Produkte: Figma Design, FigJam, Dev Mode

Region: Vereinigte Staaten, Europäische Union (siehe lokalisiertes Datei-Hosting in der EU)

Blog: Vertrauensvolles Design in der Cloud (20. September 2022)

Adhärenz-ID: 2022LVL02SCOPE4114

TISAX

Trusted Information Security Assessment Exchange (TISAX)

Trusted Information Security Assessment Exchange (TISAX) ist ein europäischer Standardkatalog für Information Security Assessments (ISA) in der Automobilindustrie, der auf wesentlichen Aspekten der Informationssicherheit und den Anforderungen der internationalen Norm ISO 27001 basiert. Die Listung von Figma auf TISAX kann mit den folgenden Details gefunden werden:

Unternehmensname: Figma, Inc.

Assessment-ID: AV01AK-2

Scope-ID: S3XH77

Bitte beachten Sie, dass TISAX und TISAX-Ergebnisse nicht für die allgemeine Öffentlichkeit bestimmt sind.

PCI-DSS (Händler)

PCI-DSS (Händler)

Der Payment Card Industry Data Security Standard (PCI-DSS) ist eine Reihe von Sicherheitsstandards, die gewährleisten sollen, dass alle Unternehmen, die Kreditkarteninformationen akzeptieren, verarbeiten, speichern oder übertragen, eine sichere Umgebung bewahren. PCI-DSS gilt sowohl für Händler als auch für Dienstleister, die Karteninhaberdaten speichern, verarbeiten oder übertragen (über einen der fünf oben genannten Kartenherausgeber). Als Händler ist Figma PCI-DSS-konform und füllt jährlich einen PCI-Selbstbewertungsfragebogen (SAQ) A aus.

Cloud Security Alliance (CSA)

Cloud Security Alliance (CSA) STAR: Level 1

Die Cloud Security Alliance (CSA) ist eine gemeinnützige Organisation, die Best Practices zur Sicherheitsgewährleistung im Cloud Computing fördert und ein Security, Trust und Assurance Registry (STAR)-Programm anbietet, das für Cloud-Anbieter konzipiert ist, um ihre Sicherheitskontrollen zu dokumentieren. Mindestens einmal jährlich füllt Figma den Consensus Assessments Initiative Questionnaire (CAIQ) auf Basis der Cloud Controls Matrix (CCM) aus, um unseren Kunden Sicherheit über unsere Sicherheits- und Compliance-Position zu geben, einschließlich der Vorschriften, Standards und Frameworks, die wir einhalten. Wir ermutigen Kunden und Interessenten nachdrücklich, unseren CAIQ herunterzuladen und zu überprüfen, bevor sie uns bitten, einen maßgeschneiderten Sicherheitsfragebogen auszufüllen.

ProcessUnity Global Risk Exchange (ehemals CyberGRX)

Global Risk Exchange (ehemals CyberGRX)

Die Global Risk Exchange (ehemals CyberGRX) ist eine Plattform für das Risikomanagement von Drittanbietern, die darauf ausgelegt ist, Organisationen dabei zu unterstützen, die Risiken, die mit ihren Drittanbietern verbunden sind, zu bewerten, zu überwachen und zu mindern. Mindestens einmal jährlich führt Figma eine Tier-1-Bewertung durch und stellt diese Ergebnisse den Kunden über das ProcessUnity GRX-Portal zur Verfügung. Wir ermutigen unsere Kunden und potenziellen Kunden nachdrücklich, unsere Tier-1-Bewertung zu überprüfen, da wir die Zeit und Sorgfalt aufgewendet haben, um diese Bewertung abzuschließen und Ihnen detaillierte Informationen über unsere Sicherheits- und Datenschutzkontrollen bereitzustellen.

SOC 2 Type 2 / SOC 3

Geltungsbereich

Produkte: Figma Design, FigJam, Dev Mode

Region: Vereinigte Staaten, Europäische Union (siehe lokalisiertes Datei-Hosting in der EU)

Trust Services-Kriterien: Sicherheit, Verfügbarkeit, Vertraulichkeit

Letzter Prüfungszeitraum: 5. Dezember 2024

Der SOC 2-Bericht ist im Trust Center von Figmazum Herunterladen verfügbar.

Figma for Government

Verbesserung der Erfahrungen von Bürgerinnen und Bürgern

Modernisieren der Art und Weise, wie Teams in der Regierung brainstormen, designen und bauen. Zusammenarbeit auf einer Plattform, die den Anforderungen von Regierungsbehörden an Sicherheit und Kreativität entspricht.

Mehr über Figma for Government erfahren

Deine Datenschutzrechte sind unser Auftrag

Figma stellt sicher, dass alle personenbezogenen Daten gemäß der Datenschutz-Grundverordnung (DSGVO) der EU und dem California Consumer Privacy Act (CCPA) verarbeitet werden. Bitte besuchen Sie das Zentrum für Datenschutz und Vertrauen von Figma, um mehr zu erfahren.

Mehr über Sicherheit bei Figma erfahren

Durchsetzung von Gerätevertrauen bei Codeänderungen

So hat das Sicherheitsteam von Figma Commit-Signaturen und Okta Device Trust-Zertifikate genutzt, um die Release-Zweige auf GitHub zu schützen.

Mehr erfahren

Figma nimmt an der TISAX-Bewertung für die europäische Automobilindustrie teil

Bei Figma unterstützen wir unsere Kunden leidenschaftlich dabei, herausragende Produkte zu entwickeln – unabhängig von ihrer Branche. TISAX gibt Produktdesigner*innen die Sicherheit, dass ihre Designarbeit sicher verwaltet wird und strikt den Vorschriften entspricht.

Serverseitiges Sandboxing: Container und Seccomp

Container und der sichere Rechenmodus (Seccomp) sind Sandboxing-Primitiven, die eine leichtere Alternative zu virtuellen Maschinen (VMs) bieten. Hier erläutern wir die Unterschiede zwischen ihnen und wie wir beide bei Figma einsetzen, um Sicherheitsisolation zu gewährleisten.

Sicherheits- und Compliance-FAQ

Entdecken Sie Figma für Ihre Organisation

Vertrieb kontaktieren