Jesu li naši podaci sigurni?

Koristimo standardne industrijske protokole i najbolje prakse za zaštitu vaših podataka i privatnosti.
U današnjem složenom i reguliranom okruženju, naši korisnici nam povjeravaju zaštitu svojih podataka koristeći alate i prakse usklađene s industrijskim standardima. Ova stranica daje pregled napora koje Netatoo ulaže kako bi ispunio te zahtjeve.

U današnjem složenom i reguliranom okruženju, naši korisnici nam povjeravaju zaštitu svojih podataka koristeći alate i prakse usklađene s industrijskim standardima. Ova stranica daje pregled napora koje Netatoo ulaže kako bi ispunio te zahtjeve.

Sigurnost baze podataka i pristupa

Za početak, osiguravamo naš sloj pohrane ograničavanjem pristupa našoj primarnoj bazi podataka aplikacije na aplikacijski sloj i fiksni skup poznatih IP adresa koje pripadaju Netatoo-u. Ovo ograničenje pristupa ostvaruje se kombinacijom pravila vatrozida, mehanizama autentifikacije (zahtijevajući od korisnika da dokažu svoj identitet) i autorizacije putem dozvola temeljenih na ulogama.

Sigurnosne kopije i obnova podataka

Pristupamo mogućnosti katastrofalnog gubitka podataka aplikacije (na primjer, kao posljedica prirodne katastrofe) automatskim stvaranjem sigurnosnih kopija baze podataka s geo-redundantnim pristupom.

Stvaramo potpune i diferencijalne sigurnosne kopije, od kojih je svaka šifrirana algoritmom AES-256.
Potpune sigurnosne kopije baza podataka izrađuju se svakih nekoliko sati, dok se diferencijalne sigurnosne kopije obično izrađuju svaki sat, a sigurnosne kopije dnevnika transakcija obično se izrađuju svakih 10 do 15 minuta.
U slučaju gubitka podataka, možemo obnoviti podatke u određenom trenutku kako bismo minimizirali gubitak informacija. Integritet sigurnosnih kopija provjerava se poluautomatski i redovito kako bi se osiguralo da su pohranjeni podaci usklađeni.
Sigurnosne kopije čuvamo 90 dana, nakon čega se uništavaju.

Sigurnosna revizija i otkrivanje prijetnji

Kako bismo održali regulatornu usklađenost, razumjeli aktivnost baze podataka i bolje razumjeli odstupanja i anomalije koje bi mogle ukazivati na sumnjive povrede sigurnosti (drugi aspekt GDPR-a EU), implementirali smo naprednu reviziju koja omogućuje otkrivanje prijetnji na našim poslužiteljima. Ove usluge otkrivaju potencijalne prijetnje čim se pojave (npr. abnormalne veze s bazama podataka, ranjivosti SQL injekcije) i odmah upozoravaju naš tim kako bi mogao poduzeti potrebne mjere. U slučaju GDPR-a, ova usluga je ključni element tehničkog sustava koji nam omogućuje otkrivanje povreda podataka i obavještavanje nadzornih tijela u malo vjerojatnom slučaju da se takva situacija dogodi.

Sigurnost veza i HTTPS protokol

Na razini aplikacijskog sloja, prisiljavamo sve dolazne zahtjeve da koriste sigurne HTTPS veze (HTTP preko TLS-a). Ovisno o klijentskom uređaju, veza može koristiti TLS 1.0, TLS 1.1.1 ili TLS 1.2. Zabranjujemo veze koje koriste zastarjele i ranjive SSL 2 i SSL 3 protokole.

Napredni HTTP sigurnosni zaglavlja

Prihvaćene TLS veze šifrirane su pomoću SSL certifikata koristeći najjači web standard. Kao dio svih HTTPS odgovora, naši poslužitelji uključuju niz naprednih sigurnosnih zaglavlja. To uključuje:

X-XSS-Protection nalaže modernim preglednicima da prekinu komunikaciju kada otkriju reflektirane XSS (Cross-site Scripting) napade.
Content-Security-Policy traži od preglednika da poduzmu stroge mjere kako bi spriječili cross-site scripting (XSS), clickjacking i druge napade ubrizgavanjem koda koji proizlaze iz izvršavanja zlonamjernog sadržaja u kontekstu pouzdane web stranice.
Strict-Transport-Security, također poznat kao HSTS. Traži od preglednika da pristupaju ballejaune.com / openresa.com samo koristeći HTTPS (tj. nikada ne koriste HTTP). Implementirali smo ovo zaglavlje s dugim vijekom trajanja.
Expect-CT traži od klijenta/web preglednika da primijeni zahtjeve za transparentnost certifikata (tj. provjeri da se certifikati naše stranice pojavljuju u javnim CT dnevnicima), što pomaže u sprječavanju korištenja netočnih Netatoo certifikata.
Referrer-Policy nam omogućuje kontrolu vrijednosti "referer" zaglavlja za veze izvan naših stranica. U našem slučaju, specificiramo da "referer" zaglavlje ne smije biti postavljeno kada navigacija rezultira spuštanjem s HTTPS na HTTP.

Rezultati neovisnih sigurnosnih revizija

Netatoo dobiva ocjenu "A" od strane neovisne usluge securityheaders.io koja omogućuje provjeru različitih implementiranih elemenata. Možete pokrenuti test na zahtjev za ballejaune.com i openresa.com i sami pregledati izvješće. Također vas potičemo da usporedite test s drugim web stranicama koje koristite ili namjeravate koristiti.

Netatoo poslužitelji za hosting aplikacija također dobivaju ocjenu "A+" od neovisnog testa poslužitelja Qualys SSL Labs, industrijskog standarda. Možete pokrenuti test na zahtjev i sami pregledati izvješće. Izvješće bilježi da nismo ranjivi na neke od najnovijih ranjivosti kao što su BEAST, POODLE i Heartbleed. Opet, potičemo vas da usporedite test s drugim web stranicama koje koristite ili namjeravate koristiti.

Prevencija napada i sigurnost kolačića

Kako bismo pomogli u sprječavanju napada rječnika, naš mehanizam za prijavu dodatno koristi funkcionalnost zaključavanja računa ako se više puta unese netočna lozinka za prijavu.

Kolačići koje poslužitelj šalje klijentu u svrhu autentifikacije i provjere zahtjeva uvijek su označeni atributima "HttpOnly" i "Secure", a njihove vrijednosti domene i putanje postavljene su na odgovarajući način za korištenje s ballejaune.com / openresa.com.

Sigurnost online plaćanja

Što se tiče online plaćanja, Netatoo je usklađen s PCI standardom. U praksi, sva plaćanja se obrađuju izravno s odabranom platnom platformom (PayPal, Paybox Verifone). Kao takvi, nikakvi osjetljivi podaci o plaćanju ne dolaze u kontakt sa sustavima u vlasništvu Netatoo-a (umjesto toga, oni se transparentno preusmjeravaju na vašu platnu platformu i zatim upravljaju putem pristupa temeljenog na tokenima).

Sigurnost transakcijskih e-mailova

Transakcijski e-mailovi koje šalju naše usluge koriste najnovije sigurnosne značajke za validaciju e-mailova. To uključuje valjane politike SPF, DKIM i DMARC. U slučaju DMARC-a, naša objavljena politika zahtijeva od poslužitelja primatelja da stave u karantenu sve poruke koje ne prođu DMARC test. Ove značajke su napredni alati koji pomažu u sprječavanju spama, spoofinga i phishing napada. Naravno, uključujemo i poveznice za odjavu u sve e-mailove koje šaljemo, a implementirali smo sustav ograničavanja brzine kako bismo pomogli u sprječavanju napada bombardiranjem e-mailovima.

Interna sigurnosna praksa u Netatoo-u

Na organizacijskoj razini, zaposlenici Netatoo-a imaju ograničen pristup podacima prema sigurnosnim načelima "potrebe za znanjem" i "najmanjeg privilegija". Sustavi za razvoj i testiranje implementirani su na internu mrežu koja nije dostupna izvana. Izvorni kod aplikacije upravlja se u privatnom repozitoriju i ne sadrži nikakve osjetljive informacije (kao što su API ključevi, lozinke ili veze).

Praćenje dostupnosti usluga

U slučaju incidenata (npr. kvarova aplikacija, degradiranih performansi ili drugih), možete pratiti status naših usluga putem Pingdoma na sljedećoj adresi: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Ažuriranja i kontinuirane dobre prakse

Na kraju, posebnu pažnju posvećujemo redovitom ažuriranju naših poslužitelja i internih sustava kako bismo primijenili najnovije sigurnosne zakrpe. Mijenjamo naše lozinke svakih 60 dana i koristimo dvofaktorsku autentifikaciju na gotovo svim aplikacijama i uslugama trećih strana koje koristimo u našem poslovanju.

Zaključak

Nadamo se da su vam ove informacije pomogle da razumijete glavne sigurnosne mehanizme koje Netatoo implementira kako bi osigurao vaše podatke. Kontinuirano pregledavamo naše sigurnosne postupke, tako da bi se ove informacije mogle promijeniti u budućnosti kako reagiramo na promjene u sigurnosnom okruženju.

Kontaktirajte nas

Poštanska adresa:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

E-mail:
support@openresa.com

Ažurirano četvrtak, 12. lipnja 2025.