Επιστροφή

Τα δεδομένα μας είναι ασφαλή;

Χρησιμοποιούμε τα πρότυπα πρωτόκολλα της βιομηχανίας και τις καλύτερες πρακτικές για να προστατεύσουμε τα δεδομένα σας και την ιδιωτικότητά σας.
Στο σημερινό πολύπλοκο και ρυθμισμένο περιβάλλον, οι χρήστες μας μας εμπιστεύονται την προστασία των δεδομένων τους με τη χρήση εργαλείων και πρακτικών που συμμορφώνονται με τα πρότυπα της βιομηχανίας. Αυτή η σελίδα παρέχει μια επισκόπηση των προσπαθειών που καταβάλλει η Netatoo για να ανταποκριθεί σε αυτές τις απαιτήσεις.

Στο σημερινό πολύπλοκο και ρυθμισμένο περιβάλλον, οι χρήστες μας μας εμπιστεύονται την προστασία των δεδομένων τους με τη χρήση εργαλείων και πρακτικών που συμμορφώνονται με τα πρότυπα της βιομηχανίας. Αυτή η σελίδα παρέχει μια επισκόπηση των προσπαθειών που καταβάλλει η Netatoo για να ανταποκριθεί σε αυτές τις απαιτήσεις.

Ασφάλεια βάσης δεδομένων και πρόσβασης

Για αρχή, ασφαλίζουμε το επίπεδο αποθήκευσης μας περιορίζοντας την πρόσβαση στη βασική βάση δεδομένων της εφαρμογής μας στο επίπεδο της εφαρμογής και σε ένα σταθερό σύνολο γνωστών διευθύνσεων IP που ανήκουν στη Netatoo. Αυτός ο περιορισμός πρόσβασης επιτυγχάνεται με τη χρήση ενός συνδυασμού κανόνων τείχους προστασίας, μηχανισμών αυθεντικοποίησης (απαιτώντας από τους χρήστες να αποδείξουν την ταυτότητά τους) και εξουσιοδότησης μέσω δικαιωμάτων βασισμένων σε ρόλους.

Αντίγραφα ασφαλείας και αποκατάσταση δεδομένων

Αντιμετωπίζουμε την πιθανότητα καταστροφικής απώλειας δεδομένων εφαρμογής (π.χ. ως αποτέλεσμα φυσικής καταστροφής) δημιουργώντας αυτόματα αντίγραφα ασφαλείας βάσης δεδομένων με μια γεω-πλεονάζουσα προσέγγιση.

  • Δημιουργούμε πλήρη και διαφορικά αντίγραφα ασφαλείας, καθένα από τα οποία κρυπτογραφείται με τον αλγόριθμο AES-256.
  • Τα πλήρη αντίγραφα ασφαλείας των βάσεων δεδομένων πραγματοποιούνται κάθε λίγες ώρες, ενώ τα διαφορικά αντίγραφα ασφαλείας συνήθως πραγματοποιούνται κάθε ώρα, και τα αντίγραφα ασφαλείας των αρχείων καταγραφής συναλλαγών συνήθως πραγματοποιούνται κάθε 10 έως 15 λεπτά.
  • Σε περίπτωση απώλειας δεδομένων, είμαστε σε θέση να αποκαταστήσουμε τα δεδομένα σε μια συγκεκριμένη χρονική στιγμή για να ελαχιστοποιήσουμε την απώλεια πληροφοριών. Η ακεραιότητα των αντιγράφων ασφαλείας ελέγχεται με ημι-αυτόματο και τακτικό τρόπο για να διασφαλιστεί ότι τα αποθηκευμένα δεδομένα είναι συνεπή.
  • Τα αντίγραφα ασφαλείας διατηρούνται για 90 ημέρες, και στη συνέχεια καταστρέφονται.

Έλεγχος ασφάλειας και ανίχνευση απειλών

Για να μας βοηθήσει να διατηρήσουμε τη συμμόρφωση με τους κανονισμούς, να κατανοήσουμε τη δραστηριότητα της βάσης δεδομένων και να κατανοήσουμε καλύτερα τις αποκλίσεις και τις ανωμαλίες που θα μπορούσαν να υποδηλώνουν υποτιθέμενες παραβιάσεις της ασφάλειας (άλλο ένα στοιχείο του GDPR της ΕΕ), έχουμε αναπτύξει έναν προηγμένο έλεγχο που επιτρέπει την ανίχνευση απειλών στους διακομιστές μας. Αυτές οι υπηρεσίες ανιχνεύουν τις πιθανές απειλές καθώς συμβαίνουν (π.χ. ανώμαλες συνδέσεις στις βάσεις δεδομένων, ευπάθειες SQL injection) και ειδοποιούν αμέσως την ομάδα μας ώστε να μπορεί να λάβει τα απαραίτητα μέτρα. Στην ιδιαίτερη περίπτωση του GDPR, αυτή η υπηρεσία αποτελεί βασικό στοιχείο της τεχνικής μηχανής που μας επιτρέπει να ανιχνεύουμε παραβιάσεις δεδομένων και να ειδοποιούμε τις ελεγκτικές αρχές στην απίθανη περίπτωση που συμβεί μια τέτοια κατάσταση.

Ασφάλεια συνδέσεων και πρωτόκολλο HTTPS

Στο επίπεδο της εφαρμογής, αναγκάζουμε όλες τις εισερχόμενες αιτήσεις να χρησιμοποιούν ασφαλείς συνδέσεις HTTPS (HTTP μέσω TLS). Ανάλογα με τη συσκευή του πελάτη, η σύνδεση μπορεί να χρησιμοποιεί TLS 1.0, TLS 1.1.1 ή TLS 1.2. Απαγορεύουμε τις συνδέσεις που χρησιμοποιούν τα ξεπερασμένα και ευάλωτα πρωτόκολλα SSL 2 και SSL 3.

Προηγμένες κεφαλίδες ασφάλειας HTTP

Οι αποδεκτές συνδέσεις TLS κρυπτογραφούνται με τη χρήση ενός πιστοποιητικού SSL που χρησιμοποιεί το ισχυρότερο πρότυπο ιστού. Στο πλαίσιο όλων των απαντήσεων HTTPS, οι διακομιστές μας περιλαμβάνουν έναν αριθμό προηγμένων κεφαλίδων ασφάλειας. Αυτές περιλαμβάνουν κυρίως:

  • X-XSS-Protection διατάζει τους σύγχρονους περιηγητές να διακόπτουν τις επικοινωνίες όταν ανιχνεύουν επιθέσεις XSS (Cross-site Scripting) που αντανακλώνται.
  • Content-Security-Policy ζητά από τους περιηγητές να λαμβάνουν αυστηρά μέτρα για την αποτροπή cross-site scripting (XSS), clickjacking και άλλων επιθέσεων με έγχυση κώδικα που προκύπτουν από την εκτέλεση κακόβουλου περιεχομένου στο πλαίσιο μιας αξιόπιστης ιστοσελίδας.
  • Strict-Transport-Security επίσης γνωστό ως HSTS. Ζητά από τους περιηγητές να έχουν πρόσβαση στο ballejaune.com / openresa.com μόνο χρησιμοποιώντας HTTPS (δηλαδή, να μην χρησιμοποιούν ποτέ HTTP). Έχουμε αναπτύξει αυτήν την κεφαλίδα με μεγάλη διάρκεια ζωής.
  • Expect-CT ζητά από έναν πελάτη/περιηγητή ιστού να εφαρμόσει τις απαιτήσεις διαφάνειας πιστοποιητικών (δηλαδή, να ελέγξει ότι τα πιστοποιητικά του ιστότοπού μας εμφανίζονται στα δημόσια αρχεία CT), το οποίο βοηθά στην αποτροπή της χρήσης εσφαλμένων πιστοποιητικών Netatoo.
  • Referrer-Policy μας επιτρέπει να ελέγχουμε την τιμή της κεφαλίδας "referer" (sic) για συνδέσμους εκτός των σελίδων μας. Στην περίπτωσή μας, καθορίζουμε ότι η κεφαλίδα "referer" δεν πρέπει να ορίζεται όταν η πλοήγηση οδηγεί σε υποβάθμιση από HTTPS σε HTTP.

Αποτελέσματα ανεξάρτητων ελέγχων ασφάλειας

Η Netatoo λαμβάνει βαθμολογία "A" από την ανεξάρτητη υπηρεσία securityheaders.io που επιτρέπει την επαλήθευση των διαφόρων στοιχείων που έχουν τεθεί σε εφαρμογή. Μπορείτε να εκτελέσετε το τεστ κατόπιν αιτήματος για το ballejaune.com και το openresa.com και να δείτε την αναφορά μόνοι σας. Σας ενθαρρύνουμε επίσης να συγκρίνετε το τεστ με άλλους ιστότοπους που χρησιμοποιείτε ή σκοπεύετε να χρησιμοποιήσετε.

Οι διακομιστές φιλοξενίας εφαρμογών της Netatoo λαμβάνουν επίσης βαθμολογία "A+" από το ανεξάρτητο τεστ διακομιστή Qualys SSL Labs, πρότυπο της βιομηχανίας. Μπορείτε να εκτελέσετε το τεστ κατόπιν αιτήματος και να δείτε την αναφορά μόνοι σας. Η αναφορά σημειώνει ότι δεν είμαστε ευάλωτοι σε ορισμένες από τις πιο πρόσφατες ευπάθειες όπως BEAST, POODLE και Heartbleed. Και πάλι, σας ενθαρρύνουμε να συγκρίνετε το τεστ με άλλους ιστότοπους που χρησιμοποιείτε ή σκοπεύετε να χρησιμοποιήσετε.

Πρόληψη επιθέσεων και ασφάλεια cookies

Για να βοηθήσουμε στην πρόληψη επιθέσεων λεξικού, ο μηχανισμός σύνδεσής μας χρησιμοποιεί επιπλέον τη λειτουργία κλειδώματος λογαριασμού εάν εισαχθεί εσφαλμένος κωδικός πρόσβασης σύνδεσης πολλές φορές.

Τα cookies που αποστέλλονται από τον διακομιστή στον πελάτη για σκοπούς αυθεντικοποίησης και επαλήθευσης αιτήσεων είναι πάντα επισημασμένα με τα χαρακτηριστικά "HttpOnly" και "Secure", και οι τιμές του τομέα και της διαδρομής τους ορίζονται κατάλληλα για χρήση με το ballejaune.com / openresa.com.

Ασφάλεια ηλεκτρονικών πληρωμών

Όσον αφορά τις ηλεκτρονικές πληρωμές, η Netatoo συμμορφώνεται με το πρότυπο PCI. Στην πράξη, όλες οι πληρωμές διεκπεραιώνονται απευθείας με την πύλη πληρωμών που έχετε επιλέξει (PayPal, Paybox Verifone). Ως εκ τούτου, κανένα ευαίσθητο στοιχείο πληρωμής δεν έρχεται σε επαφή με τα συστήματα που ανήκουν στη Netatoo (αντίθετα, ανακατευθύνεται με διαφάνεια στην πύλη σας και στη συνέχεια διαχειρίζεται μέσω μιας προσέγγισης βασισμένης σε διακριτικά).

Ασφάλεια συναλλακτικών e-mail

Τα συναλλακτικά e-mail που αποστέλλονται από τις υπηρεσίες μας χρησιμοποιούν τις τελευταίες δυνατότητες ασφάλειας για την επικύρωση των e-mail. Αυτές περιλαμβάνουν έγκυρες πολιτικές SPF, DKIM και DMARC. Στην περίπτωση του DMARC, η δημοσιευμένη πολιτική μας ζητά από τους διακομιστές των παραληπτών να θέτουν σε καραντίνα όλα τα μηνύματα που δεν περνούν το τεστ DMARC. Αυτές οι δυνατότητες είναι προηγμένα εργαλεία που βοηθούν στην πρόληψη του spamming, του spoofing και των επιθέσεων phishing. Φυσικά, περιλαμβάνουμε επίσης συνδέσμους απεγγραφής σε όλα τα e-mail που στέλνουμε, και έχουμε εφαρμόσει ένα σύστημα περιορισμού ρυθμού για να βοηθήσουμε στην πρόληψη επιθέσεων με βομβαρδισμό e-mail.

Εσωτερικές πρακτικές ασφάλειας στη Netatoo

Σε οργανωτικό επίπεδο, οι υπάλληλοι της Netatoo έχουν περιορισμένη πρόσβαση στα δεδομένα βάσει των αρχών ασφάλειας "ανάγκη γνώσης" και "ελάχιστο προνόμιο". Τα συστήματα ανάπτυξης και δοκιμών αναπτύσσονται σε ένα εσωτερικό δίκτυο που δεν είναι προσβάσιμο από το εξωτερικό. Ο πηγαίος κώδικας της εφαρμογής διαχειρίζεται σε ένα ιδιωτικό αποθετήριο και δεν περιέχει ευαίσθητες πληροφορίες (όπως κλειδιά API, κωδικούς πρόσβασης ή συμβολοσειρές σύνδεσης).

Παρακολούθηση διαθεσιμότητας υπηρεσιών

Σε περίπτωση περιστατικών (π.χ. διακοπές εφαρμογών, υποβαθμισμένες επιδόσεις ή άλλα), μπορείτε να παρακολουθείτε την κατάσταση των υπηρεσιών μας μέσω του Pingdom στη διεύθυνση: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Συνεχείς ενημερώσεις και καλές πρακτικές

Τέλος, δίνουμε ιδιαίτερη προσοχή στην τακτική ενημέρωση των διακομιστών και των εσωτερικών μας συστημάτων για να παρέχουμε τις τελευταίες ενημερώσεις ασφαλείας. Αλλάζουμε τους κωδικούς πρόσβασής μας κάθε 60 ημέρες και χρησιμοποιούμε αυθεντικοποίηση δύο παραγόντων σχεδόν σε όλες τις εφαρμογές και υπηρεσίες τρίτων που χρησιμοποιούμε στο πλαίσιο της εργασίας μας.

Συμπέρασμα

Ελπίζουμε ότι αυτές οι πληροφορίες σας βοήθησαν να κατανοήσετε τους κύριους μηχανισμούς ασφαλείας που έχει θέσει σε εφαρμογή η Netatoo για να ασφαλίσει τα δεδομένα σας. Επανεξετάζουμε συνεχώς τις διαδικασίες ασφαλείας μας, ώστε αυτές οι πληροφορίες να μπορούν να αλλάξουν στο μέλλον καθώς αντιδρούμε στην εξέλιξη του τοπίου της ασφάλειας.

Επικοινωνήστε μαζί μας

Ταχυδρομική διεύθυνση:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

Ηλεκτρονικό ταχυδρομείο:
support@openresa.com

Ενημερώθηκε στις Πέμπτη, 12 Ιουνίου 2025
Όροι & πολιτική απορρήτου
Ελλάδα (EL)