Takaisin

Ovatko tietomme turvassa?

Käytämme alan standardiprotokollia ja parhaita käytäntöjä suojataksemme tietojasi ja yksityisyyttäsi.
Nykyisessä monimutkaisessa ja säännellyssä ympäristössä käyttäjämme luottavat meille tietojensa suojaamisen alan standardien mukaisilla työkaluilla ja käytännöillä. Tämä sivu antaa yleiskuvan Netatoon ponnisteluista näiden vaatimusten täyttämiseksi.

Nykyisessä monimutkaisessa ja säännellyssä ympäristössä käyttäjämme luottavat meille tietojensa suojaamisen alan standardien mukaisilla työkaluilla ja käytännöillä. Tämä sivu antaa yleiskuvan Netatoon ponnisteluista näiden vaatimusten täyttämiseksi.

Tietokannan ja pääsyn turvallisuus

Aluksi suojaamme pysyvyyskerroksemme rajoittamalla pääsyä ensisijaiseen sovellustietokantaamme sovelluskerrokseen ja kiinteään joukkoon tunnettuja IP-osoitteita, jotka kuuluvat Netatoolle. Tämä pääsyn rajoitus toteutetaan yhdistämällä palomuurisääntöjä, todennusmekanismeja (jotka vaativat käyttäjiä todistamaan henkilöllisyytensä) ja valtuutusta roolipohjaisten käyttöoikeuksien kautta.

Tietojen varmuuskopiointi ja palautus

Käsittelemme mahdollisuutta sovellustietojen katastrofaaliseen menetykseen (esimerkiksi luonnonkatastrofin seurauksena) luomalla automaattisesti tietokantojen varmuuskopioita geo-redundantilla lähestymistavalla.

  • Luomme täydellisiä ja differentiaalisia varmuuskopioita, joista jokainen on salattu AES-256-algoritmilla.
  • Täydelliset tietokantavarmuuskopiot tehdään muutaman tunnin välein, kun taas differentiaaliset varmuuskopiot tehdään yleensä tunnin välein, ja transaktiolokien varmuuskopiot yleensä 10–15 minuutin välein.
  • Tietojen menetyksen sattuessa voimme palauttaa tiedot tiettyyn hetkeen minimoidaksemme tietojen menetyksen. Varmuuskopioiden eheys tarkistetaan puoliksi automaattisesti ja säännöllisesti varmistaaksemme, että tallennetut tiedot ovat yhdenmukaisia.
  • Varmuuskopiot säilytetään 90 päivää, minkä jälkeen ne tuhotaan.

Tietoturva-auditointi ja uhkien havaitseminen

Auttaaksemme meitä ylläpitämään sääntelyvaatimusten noudattamista, ymmärtämään tietokannan toimintaa ja paremmin ymmärtämään poikkeamia ja epäsäännöllisyyksiä, jotka voivat viitata oletettuihin tietoturvaloukkauksiin (toinen EU:n GDPR -näkökulma), olemme ottaneet käyttöön kehittyneen auditoinnin, joka mahdollistaa uhkien havaitsemisen palvelimillamme. Nämä palvelut havaitsevat mahdolliset uhat niiden tapahtuessa (esim. epänormaalit tietokantayhteydet, SQL-injektiohaavoittuvuudet) ja hälyttävät välittömästi tiimimme, jotta se voi ryhtyä tarvittaviin toimenpiteisiin. Erityisesti GDPR -tapauksessa tämä palvelu on keskeinen osa teknistä järjestelmää, joka mahdollistaa tietomurtojen havaitsemisen ja valvontaviranomaisten ilmoittamisen epätodennäköisessä tapauksessa, että tällainen tilanne tapahtuisi.

Yhteyksien turvallisuus ja HTTPS-protokolla

Sovelluskerroksessa pakotamme kaikki saapuvat pyynnöt käyttämään suojattuja HTTPS-yhteyksiä (HTTP TLS:llä). Asiakaslaitteesta riippuen yhteys voi käyttää TLS 1.0, TLS 1.1.1 tai TLS 1.2. Kiellämme yhteydet, jotka käyttävät vanhentuneita ja haavoittuvia SSL 2- ja SSL 3 -protokollia.

Kehittyneet HTTP-tietoturvaotsikot

Hyväksytyt TLS-yhteydet salataan SSL-sertifikaatilla, joka käyttää vahvinta verkkostandardia. Kaikkien HTTPS-vastausten yhteydessä palvelimemme sisältävät useita kehittyneitä tietoturvaotsikoita. Näihin kuuluvat erityisesti:

  • X-XSS-Protection käskee nykyaikaisia selaimia keskeyttämään viestinnän, kun ne havaitsevat heijastettuja XSS (Cross-site Scripting) -hyökkäyksiä.
  • Content-Security-Policy pyytää selaimia ryhtymään tiukkoihin toimenpiteisiin estääkseen cross-site scripting (XSS), clickjacking ja muut koodin injektiohyökkäykset, jotka johtuvat haitallisen sisällön suorittamisesta luotetun verkkosivun kontekstissa.
  • Strict-Transport-Security, joka tunnetaan myös nimellä HSTS. Pyytää selaimia käyttämään ballejaune.com / openresa.com -sivustoa vain HTTPS:n kautta (eli ei koskaan käyttämään HTTP:tä). Olemme ottaneet tämän otsikon käyttöön pitkällä voimassaoloajalla.
  • Expect-CT pyytää asiakas-/verkkoselainta soveltamaan sertifikaattien läpinäkyvyyttä koskevia vaatimuksia (eli tarkistamaan, että sivustomme sertifikaatit näkyvät julkisissa CT-lokeissa), mikä auttaa estämään virheellisten Netatoo-sertifikaattien käyttöä.
  • Referrer-Policy antaa meille mahdollisuuden hallita "referer"-otsikon arvoa linkeille sivujemme ulkopuolella. Meidän tapauksessamme määrittelemme, että "referer"-otsikkoa ei tule asettaa, kun navigointi johtaa HTTPS:n alennukseen HTTP:ksi.

Riippumattomien tietoturva-auditointien tulokset

Netatoo saa arvosanan "A" riippumattomalta securityheaders.io -palvelulta, joka tarkistaa käyttöön otetut eri elementit. Voit suorittaa testin pyynnöstä ballejaune.com ja openresa.com -sivustoille ja tarkastella raporttia itse. Suosittelemme myös vertaamaan testiä muihin verkkosivustoihin, joita käytät tai aiot käyttää.

Netatoon sovellusten isännöintipalvelimet saavat myös arvosanan "A+" riippumattomalta Qualys SSL Labs -palvelintestiltä, joka on alan standardi. Voit suorittaa testin pyynnöstä ja tarkastella raporttia itse. Raportti toteaa, että emme ole alttiita joillekin uusimmista haavoittuvuuksista, kuten BEAST, POODLE ja Heartbleed. Jälleen kerran, suosittelemme vertaamaan testiä muihin verkkosivustoihin, joita käytät tai aiot käyttää.

Hyökkäysten ehkäisy ja evästeiden turvallisuus

Auttaaksemme estämään sanakirjahyökkäyksiä, kirjautumismekanismimme käyttää lisäksi tilin lukitustoimintoa, jos kirjautumissalasana syötetään väärin useita kertoja.

Palvelimen asiakkaalle lähettämät evästeet todennusta ja pyyntöjen tarkistamista varten on aina merkitty "HttpOnly"- ja "Secure"-attribuuteilla, ja niiden verkkotunnus- ja polkuarvot on määritelty asianmukaisesti käytettäväksi ballejaune.com / openresa.com -sivustolla.

Verkkopankkimaksujen turvallisuus

Verkkopankkimaksujen osalta Netatoo noudattaa PCI-standardia. Käytännössä kaikki maksut käsitellään suoraan valitsemallasi maksuvälittäjällä (PayPal, Paybox Verifone). Tämän vuoksi Netatoon omistamat järjestelmät eivät käsittele mitään arkaluonteisia maksutietoja (sen sijaan ne ohjataan saumattomasti maksuvälittäjällesi ja käsitellään sitten token-pohjaisella lähestymistavalla).

Transaktionaalisten sähköpostien turvallisuus

Palveluidemme lähettämät transaktionaaliset sähköpostit käyttävät viimeisimpiä sähköpostin validointiin liittyviä tietoturvaominaisuuksia. Näihin kuuluvat erityisesti voimassa olevat SPF, DKIM ja DMARC -käytännöt. DMARC:n tapauksessa julkaistu käytäntömme pyytää vastaanottajien palvelimia asettamaan karanteeniin kaikki viestit, jotka eivät läpäise DMARC-testiä. Nämä ominaisuudet ovat kehittyneitä työkaluja, jotka auttavat estämään roskapostitusta, spoofingia ja phishing-hyökkäyksiä. Luonnollisesti sisällytämme myös peruutuslinkit kaikkiin lähettämiimme sähköposteihin, ja olemme ottaneet käyttöön nopeusrajoitusjärjestelmän auttaaksemme estämään sähköpostipommitushyökkäyksiä.

Netatoon sisäiset tietoturvakäytännöt

Organisaatiotasolla Netatoon työntekijöillä on rajoitettu pääsy tietoihin "tarve tietää" ja "vähimmäisoikeudet" -turvaperiaatteiden mukaisesti. Kehitys- ja testijärjestelmät on otettu käyttöön sisäisessä verkossa, joka ei ole ulkopuolelta saavutettavissa. Sovelluksen lähdekoodi hallitaan yksityisessä arkistossa, eikä se sisällä mitään arkaluonteisia tietoja (kuten API-avaimia, salasanoja tai yhteysketjuja).

Palvelujen saatavuuden seuranta

Tapahtumien (esim. sovellusten kaatumiset, heikentyneet suorituskyvyt tai muut) sattuessa voit seurata palveluidemme tilaa Pingdomin kautta osoitteessa: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Jatkuvat päivitykset ja hyvät käytännöt

Lopuksi kiinnitämme erityistä huomiota palvelimiemme ja sisäisten järjestelmiemme säännölliseen päivittämiseen uusimpien tietoturvakorjausten tuomiseksi. Vaihdamme salasanamme 60 päivän välein ja käytämme kaksivaiheista todennusta lähes kaikissa sovelluksissa ja kolmannen osapuolen palveluissa, joita käytämme työssämme.

Yhteenveto

Toivomme, että nämä tiedot auttoivat sinua ymmärtämään Netatoon käyttämät keskeiset tietoturvamekanismit tietojesi suojaamiseksi. Tarkistamme jatkuvasti tietoturvakäytäntöjämme, joten nämä tiedot voivat muuttua tulevaisuudessa, kun reagoimme tietoturvan kehitykseen.

Ota yhteyttä

Postiosoite:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

Sähköposti:
support@openresa.com

Päivitetty torstaina 12. kesäkuuta 2025
Ehdot & tietosuojakäytäntö
Suomi (FI)