Er vores data sikre?
Vi bruger branchens standardprotokoller og bedste praksis for at beskytte dine data og dit privatliv.
I nutidens komplekse og regulerede miljø stoler vores brugere på, at vi beskytter deres data ved hjælp af værktøjer og praksis, der overholder branchens standarder. Denne side giver et overblik over de bestræbelser, Netatoo gør for at opfylde disse krav.
I nutidens komplekse og regulerede miljø stoler vores brugere på, at vi beskytter deres data ved hjælp af værktøjer og praksis, der overholder branchens standarder. Denne side giver et overblik over de bestræbelser, Netatoo gør for at opfylde disse krav.
Sikkerhed for databasen og adgang
For det første sikrer vi vores persistenslag ved at begrænse adgangen til vores primære applikationsdatabase til applikationslaget og et fast sæt kendte IP-adresser, der tilhører Netatoo. Denne adgangsbegrænsning opnås ved hjælp af en kombination af firewall-regler, autentifikationsmekanismer (der kræver, at brugerne beviser deres identitet) og autorisation gennem rollebaserede tilladelser.
Backup og gendannelse af data
Vi håndterer muligheden for et katastrofalt tab af applikationsdata (f.eks. som følge af en naturkatastrofe) ved automatisk at oprette databasebackups med en geo-redundant tilgang.
- Vi opretter fulde og differentielle backups, som hver især er krypteret med AES-256-algoritmen.
- Fulde databasebackups finder sted hver få timer, mens differentielle backups normalt finder sted hver time, og transaktionslogbackups finder normalt sted hver 10 til 15 minutter.
- I tilfælde af datatab kan vi gendanne data til et bestemt tidspunkt for at minimere tab af information. Integriteten af backups verificeres semi-automatisk og regelmæssigt for at sikre, at de lagrede data er i overensstemmelse.
- Backups opbevares i 90 dage, hvorefter de destrueres.
Sikkerhedsaudit og trusselsdetektion
For at hjælpe os med at opretholde lovgivningsmæssig overholdelse, forstå databaseaktivitet og bedre forstå afvigelser og anomalier, der kan indikere formodede sikkerhedsbrud (et andet aspekt af GDPR i EU), har vi implementeret en avanceret audit, der muliggør trusselsdetektion på vores servere. Disse tjenester opdager potentielle trusler, når de opstår (f.eks. unormale databaseforbindelser, SQL-injektionssårbarheder) og advarer straks vores team, så de kan tage de nødvendige skridt. I det særlige tilfælde af GDPR udgør denne tjeneste en nøglekomponent i den tekniske maskine, der gør det muligt for os at opdage databrud og underrette tilsynsmyndighederne i det usandsynlige tilfælde, at en sådan situation skulle opstå.
Sikkerhed for forbindelser og HTTPS-protokol
På applikationslaget tvinger vi alle indgående anmodninger til at bruge sikre HTTPS-forbindelser (HTTP over TLS). Afhængigt af klientenheden kan forbindelsen bruge TLS 1.0, TLS 1.1.1 eller TLS 1.2. Vi forbyder forbindelser, der bruger de forældede og sårbare SSL 2 og SSL 3 protokoller.
Avancerede HTTP-sikkerhedshoveder
De accepterede TLS-forbindelser er krypteret ved hjælp af et SSL-certifikat, der bruger den stærkeste webstandard. Som en del af alle HTTPS-svar inkluderer vores servere en række avancerede sikkerhedshoveder. Disse inkluderer især:
- X-XSS-Protection instruerer moderne browsere til at afbryde kommunikationen, når de opdager reflekterede XSS-angreb (Cross-site Scripting).
- Content-Security-Policy beder browsere om at tage strenge foranstaltninger for at forhindre cross-site scripting (XSS), clickjacking og andre kodeinjektionsangreb som følge af udførelse af ondsindet indhold i konteksten af en betroet webside.
- Strict-Transport-Security, også kendt som HSTS. Beder browsere om kun at få adgang til ballejaune.com / openresa.com ved hjælp af HTTPS (dvs. aldrig bruge HTTP). Vi har implementeret dette hoved med en lang levetid.
- Expect-CT beder en klient/webbrowser om at håndhæve kravene til certifikattransparens (dvs. kontrollere, at vores websteds certifikater vises i offentlige CT-logs), hvilket hjælper med at forhindre brugen af forkerte Netatoo-certifikater.
- Referrer-Policy giver os mulighed for at kontrollere værdien af "referer"-hovedet for links uden for vores sider. I vores tilfælde specificerer vi, at "referer"-hovedet ikke skal defineres, når navigationen resulterer i en nedgradering fra HTTPS til HTTP.
Resultater af uafhængige sikkerhedsaudits
Netatoo modtager en "A"-vurdering fra den uafhængige tjeneste securityheaders.io, der gør det muligt at verificere de forskellige elementer, der er implementeret. Du kan køre testen efter behov for ballejaune.com og openresa.com og se rapporten selv. Vi opfordrer dig også til at sammenligne testen med andre websteder, du bruger eller har til hensigt at bruge.
Netatoos applikationshosting-servere modtager også en "A+"-vurdering fra den uafhængige Qualys SSL Labs servertest, der er branchestandard. Du kan køre testen efter behov og se rapporten selv. Rapporten bemærker, at vi ikke er sårbare over for nogle af de nyeste sårbarheder som BEAST, POODLE og Heartbleed. Igen opfordrer vi dig til at sammenligne testen med andre websteder, du bruger eller har til hensigt at bruge.
Forebyggelse af angreb og sikkerhed for cookies
For at hjælpe med at forhindre ordbogsangreb bruger vores loginmekanisme desuden en kontolåsefunktion, hvis en forkert loginadgangskode indtastes flere gange.
De cookies, der sendes fra serveren til klienten til autentificerings- og anmodningsverifikationsformål, er altid markeret med attributterne "HttpOnly" og "Secure", og deres domæne- og sti-værdier er passende indstillet til brug med ballejaune.com / openresa.com.
Sikkerhed for onlinebetalinger
Med hensyn til onlinebetalinger overholder Netatoo PCI-standarden. I praksis behandles alle betalinger direkte med den betalingsgateway, du har valgt (PayPal, Paybox Verifone). Som sådan kommer ingen følsomme betalingsoplysninger i kontakt med systemer, der tilhører Netatoo (i stedet omdirigeres det gennemsigtigt til din gateway og håndteres derefter gennem en token-baseret tilgang).
Sikkerhed for transaktions-e-mails
De transaktions-e-mails, der sendes af vores tjenester, bruger de nyeste sikkerhedsfunktioner til e-mail-validering. Dette inkluderer gyldige politikker for SPF, DKIM og DMARC. I tilfælde af DMARC beder vores offentliggjorte politik modtagerens servere om at sætte alle meddelelser, der ikke består DMARC-testen, i karantæne. Disse funktioner er avancerede værktøjer, der hjælper med at forhindre spam, spoofing og phishing-angreb. Naturligvis inkluderer vi også afmeldingslinks i alle de e-mails, vi sender, og vi har implementeret et hastighedsbegrænsningssystem for at hjælpe med at forhindre e-mail-bombardementsangreb.
Interne sikkerhedspraksis hos Netatoo
På organisatorisk niveau har Netatoos medarbejdere begrænset adgang til data baseret på sikkerhedsprincipperne "need to know" og "least privilege". Udviklings- og testsystemer er implementeret på et internt netværk, der ikke er tilgængeligt udefra. Applikationens kildekode administreres i et privat lager og indeholder ingen følsomme oplysninger (såsom API-nøgler, adgangskoder eller forbindelsesstrenge).
Overvågning af tjenestetilgængelighed
I tilfælde af hændelser (f.eks. applikationsnedbrud, nedsat ydeevne eller andre) kan du følge status for vores tjenester via Pingdom på følgende adresse: http://stats.pingdom.com/rn0d9ch52vnj/1678478
Løbende opdateringer og bedste praksis
Endelig lægger vi stor vægt på regelmæssigt at opdatere vores servere og interne systemer for at levere de nyeste sikkerhedsrettelser. Vi ændrer vores adgangskoder hver 60. dag, og vi bruger tofaktorautentifikation på næsten alle de applikationer og tredjepartstjenester, vi bruger i vores arbejde.
Konklusion
Vi håber, at disse oplysninger har hjulpet dig med at forstå de vigtigste sikkerhedsmekanismer, Netatoo har implementeret for at sikre dine data. Vi gennemgår løbende vores sikkerhedsprocedurer, så disse oplysninger kan ændre sig i fremtiden, efterhånden som vi reagerer på det skiftende sikkerhedslandskab.
Kontakt os
Postadresse:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE
E-mail:
support@openresa.com
Opdateret den torsdag den 12. juni 2025
