Назад

Данните ни сигурни ли са?

Ние използваме стандартните за индустрията протоколи и най-добрите практики, за да защитим вашите данни и личния ви живот.
В днешната сложна и регулирана среда, нашите потребители ни поверяват защитата на своите данни чрез инструменти и практики, съответстващи на индустриалните стандарти. Тази страница дава преглед на усилията, които Netatoo полага, за да отговори на тези изисквания.

В днешната сложна и регулирана среда, нашите потребители ни поверяват защитата на своите данни чрез инструменти и практики, съответстващи на индустриалните стандарти. Тази страница дава преглед на усилията, които Netatoo полага, за да отговори на тези изисквания.

Сигурност на базата данни и достъпите

За начало, ние защитаваме нашия слой на съхранение, като ограничаваме достъпа до нашата основна база данни на приложението до приложния слой и фиксиран набор от известни IP адреси, принадлежащи на Netatoo. Това ограничение на достъпа се осъществява чрез комбинация от правила за защитна стена, механизми за удостоверяване (изискващи потребителите да докажат своята идентичност) и разрешение чрез права, базирани на роли.

Архивиране и възстановяване на данни

Ние се справяме с възможността за катастрофална загуба на данни от приложението (например в резултат на природно бедствие), като автоматично създаваме архиви на базата данни с гео-резервен подход.

  • Създаваме пълни и диференциални архиви, всеки от които е криптиран с алгоритъма AES-256.
  • Пълните архиви на базите данни се извършват на всеки няколко часа, докато диференциалните архиви обикновено се извършват на всеки час, а архивите на транзакционните журнали обикновено се извършват на всеки 10 до 15 минути.
  • В случай на загуба на данни, можем да възстановим данните до определен момент, за да минимизираме загубата на информация. Целостта на архивите се проверява полуавтоматично и редовно, за да се уверим, че съхранените данни са съответстващи.
  • Архивите се съхраняват за 90 дни, след което се унищожават.

Одит на сигурността и откриване на заплахи

За да ни помогне да поддържаме регулаторното съответствие, да разберем активността на базата данни и да разберем по-добре отклоненията и аномалиите, които биха могли да показват предполагаеми нарушения на сигурността (друг аспект на GDPR на ЕС), ние сме внедрили напреднал одит, позволяващ откриване на заплахи на нашите сървъри. Тези услуги откриват потенциални заплахи, докато се случват (напр. необичайни връзки към базите данни, уязвимости на SQL инжекции) и незабавно предупреждават нашия екип, за да може да предприеме необходимите мерки. В частния случай на GDPR, тази услуга представлява ключов елемент от техническата машина, която ни позволява да откриваме нарушения на данните и да уведомяваме контролните органи в малко вероятния случай, че такава ситуация се случи.

Сигурност на връзките и HTTPS протокол

На ниво приложен слой, ние принуждаваме всички входящи заявки да използват защитени HTTPS връзки (HTTP върху TLS). В зависимост от клиентското устройство, връзката може да използва TLS 1.0, TLS 1.1.1 или TLS 1.2. Забраняваме връзки, използващи остарели и уязвими протоколи SSL 2 и SSL 3.

Разширени HTTP заглавия за сигурност

Приетите TLS връзки са криптирани с помощта на SSL сертификат, използващ най-силния уеб стандарт. В рамките на всички HTTPS отговори, нашите сървъри включват редица разширени заглавия за сигурност. Те включват по-специално:

  • X-XSS-Protection нарежда на съвременните браузъри да прекъснат комуникациите, когато открият отразени XSS (Cross-site Scripting) атаки.
  • Content-Security-Policy изисква от браузърите да предприемат строги мерки за предотвратяване на cross-site scripting (XSS), clickjacking и други атаки чрез инжектиране на код, произтичащи от изпълнението на злонамерено съдържание в контекста на доверена уеб страница.
  • Strict-Transport-Security, известен също като HSTS. Изисква от браузърите да достъпват ballejaune.com / openresa.com само чрез HTTPS (т.е. никога да не използват HTTP). Внедрихме това заглавие с дълъг срок на действие.
  • Expect-CT изисква от клиент/уеб браузър да прилага изискванията за прозрачност на сертификатите (т.е. да проверява, че сертификатите на нашия сайт се появяват в публичните CT журнали), което помага да се предотврати използването на неправилни сертификати на Netatoo.
  • Referrer-Policy ни позволява да контролираме стойността на заглавието "referer" (sic) за връзки извън нашите страници. В нашия случай, ние уточняваме, че заглавието "referer" не трябва да бъде зададено, когато навигацията води до понижаване от HTTPS към HTTP.

Резултати от независими одити на сигурността

Netatoo получава оценка "A" от независимата услуга securityheaders.io, която проверява различните елементи, които са внедрени. Можете да изпълните теста по заявка за ballejaune.com и openresa.com и да визуализирате доклада сами. Също така ви насърчаваме да сравните теста с други уебсайтове, които използвате или възнамерявате да използвате.

Сървърите за хостинг на приложения на Netatoo също получават оценка "A+" от независимия тест на сървъра Qualys SSL Labs, индустриален стандарт. Можете да изпълните теста по заявка и да визуализирате доклада сами. Докладът отбелязва, че не сме уязвими към някои от най-новите уязвимости като BEAST, POODLE и Heartbleed. Отново, ви насърчаваме да сравните теста с други уебсайтове, които използвате или възнамерявате да използвате.

Превенция на атаки и сигурност на бисквитките

За да помогнем за предотвратяване на атаки с речник, нашият механизъм за вход използва допълнително функция за заключване на акаунт, ако е въведена неправилна парола за вход няколко пъти.

Бисквитките, изпратени от сървъра към клиента за целите на удостоверяване и проверка на заявките, винаги са маркирани с атрибутите "HttpOnly" и "Secure", а техните стойности на домейн и път са зададени по подходящ начин за използване с ballejaune.com / openresa.com.

Сигурност на онлайн плащанията

Що се отнася до онлайн плащанията, Netatoo е съвместим със стандарта PCI. На практика, всички плащания се обработват директно с избраната от вас платежна шлюз (PayPal, Paybox Verifone). Като такъв, никакви чувствителни данни за плащане не влизат в контакт със системите, принадлежащи на Netatoo (вместо това, те се пренасочват прозрачно към вашата шлюз и след това се управляват чрез подход, базиран на токени).

Сигурност на транзакционните имейли

Транзакционните имейли, изпратени от нашите услуги, използват най-новите функции за сигурност за валидиране на имейлите. Те включват валидни политики на SPF, DKIM и DMARC. В случая на DMARC, нашата публикувана политика изисква от сървърите на получателите да поставят под карантина всички съобщения, които не преминават теста на DMARC. Тези функции са напреднали инструменти, които помагат за предотвратяване на спам, измами и фишинг атаки. Естествено, ние също така включваме връзки за отписване във всички имейли, които изпращаме, и сме внедрили система за ограничаване на скоростта, за да помогнем за предотвратяване на атаки чрез бомбардиране с имейли.

Вътрешни практики за сигурност в Netatoo

На организационно ниво, служителите на Netatoo имат ограничен достъп до данни на принципите на сигурност "необходимост от знание" и "най-малко привилегии". Системите за разработка и тестване са внедрени в вътрешна мрежа, която не е достъпна отвън. Изходният код на приложението се управлява в частно хранилище и не съдържа никаква чувствителна информация (като API ключове, пароли или низове за връзка).

Наблюдение на наличността на услугите

В случай на инциденти (напр. сривове на приложения, влошени показатели или други), можете да следите състоянието на нашите услуги чрез Pingdom на следния адрес: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Актуализации и добри практики

Накрая, ние обръщаме особено внимание на редовното актуализиране на нашите сървъри и вътрешни системи, за да предоставим последните корекции за сигурност. Ние сменяме паролите си на всеки 60 дни и използваме двуфакторно удостоверяване за почти всички приложения и услуги на трети страни, които използваме в рамките на нашата работа.

Заключение

Надяваме се, че тази информация ви е помогнала да разберете основните механизми за сигурност, внедрени от Netatoo, за да защитим вашите данни. Ние непрекъснато преглеждаме нашите процедури за сигурност, така че тази информация може да се промени в бъдеще, докато реагираме на променящия се пейзаж на сигурността.

Свържете се с нас

Пощенски адрес:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

Електронна поща:
support@openresa.com

Актуализирано на четвъртък, 12 юни 2025 г.
Условия и политика за поверителност
България (BG)