Vissza

Adataink biztonságban vannak?

Az iparági szabványoknak megfelelő protokollokat és bevált gyakorlatokat alkalmazunk az adatok és a magánélet védelme érdekében.
A mai összetett és szabályozott környezetben felhasználóink ránk bízzák adataik védelmét, amelyet iparági szabványoknak megfelelő eszközökkel és gyakorlatokkal biztosítunk. Ez az oldal áttekintést nyújt a Netatoo által tett erőfeszítésekről ezen követelmények teljesítése érdekében.

A mai összetett és szabályozott környezetben felhasználóink ránk bízzák adataik védelmét, amelyet iparági szabványoknak megfelelő eszközökkel és gyakorlatokkal biztosítunk. Ez az oldal áttekintést nyújt a Netatoo által tett erőfeszítésekről ezen követelmények teljesítése érdekében.

Adatbázis és hozzáférés biztonsága

Először is, biztosítjuk a perzisztencia rétegünket azáltal, hogy korlátozzuk az elsődleges alkalmazás adatbázisunkhoz való hozzáférést az alkalmazás rétegre és egy fix, a Netatoo-hoz tartozó ismert IP-címek halmazára. Ezt a hozzáférés-korlátozást tűzfal szabályok, hitelesítési mechanizmusok (amelyek megkövetelik a felhasználóktól, hogy igazolják személyazonosságukat) és engedélyek szerepkör alapú jogosultságok révén valósítjuk meg.

Adatmentések és visszaállítás

Az alkalmazás adatok katasztrofális elvesztésének lehetőségét (például természeti katasztrófa következtében) úgy kezeljük, hogy automatikusan földrajzilag redundáns adatbázis-mentéseket készítünk.

  • Teljes és differenciális mentéseket készítünk, amelyek mindegyike AES-256 algoritmussal van titkosítva.
  • Az adatbázisok teljes mentése néhány óránként történik, míg a differenciális mentések általában óránként, végül a tranzakciós naplók mentése általában 10-15 percenként történik.
  • Adatvesztés esetén képesek vagyunk az adatokat egy adott időpontra visszaállítani, hogy minimalizáljuk az információveszteséget. A mentések integritását félautomata és rendszeres módon ellenőrizzük annak biztosítása érdekében, hogy a tárolt adatok megfeleljenek.
  • A mentéseket 90 napig őrizzük meg, majd megsemmisítjük.

Biztonsági audit és fenyegetés-észlelés

A szabályozási megfelelőség fenntartása, az adatbázis tevékenységének megértése és a biztonsági megsértésekre utaló eltérések és anomáliák jobb megértése érdekében (az EU GDPR egy másik aspektusa) fejlett auditálást vezettünk be, amely lehetővé teszi a fenyegetések észlelését a szervereinken. Ezek a szolgáltatások észlelik a potenciális fenyegetéseket, amint azok bekövetkeznek (pl. rendellenes adatbázis-kapcsolatok, SQL injekciós sebezhetőségek), és azonnal figyelmeztetik csapatunkat, hogy megtehessék a szükséges intézkedéseket. A GDPR különleges esetében ez a szolgáltatás kulcsfontosságú eleme annak a technikai gépezetnek, amely lehetővé teszi számunkra az adatvédelmi incidensek észlelését és a felügyeleti hatóságok értesítését abban a valószínűtlen esetben, ha ilyen helyzet előfordulna.

Kapcsolatbiztonság és HTTPS protokoll

Az alkalmazás réteg szintjén minden bejövő kérést biztonságos HTTPS (HTTP TLS-en keresztül) kapcsolatok használatára kényszerítünk. Az ügyfél eszköztől függően a kapcsolat használhatja a TLS 1.0, TLS 1.1.1 vagy TLS 1.2 protokollt. Megtiltjuk a régi és sebezhető SSL 2 és SSL 3 protokollokat használó kapcsolatok létrejöttét.

Fejlett HTTP biztonsági fejlécek

A TLS kapcsolatok titkosítva vannak egy SSL tanúsítvánnyal, amely a legerősebb webes szabványt használja. Az összes HTTPS válasz részeként szervereink számos fejlett biztonsági fejlécet tartalmaznak. Ezek közé tartozik többek között:

  • X-XSS-Protection, amely arra utasítja a modern böngészőket, hogy szakítsák meg a kommunikációt, ha tükrözött XSS (Cross-site Scripting) támadásokat észlelnek.
  • Content-Security-Policy, amely arra kéri a böngészőket, hogy szigorú intézkedéseket tegyenek a cross-site scripting (XSS), a clickjacking és más kódinjektálási támadások megelőzésére, amelyek rosszindulatú tartalom végrehajtásából erednek egy megbízható weboldal kontextusában.
  • Strict-Transport-Security, más néven HSTS. Arra kéri a böngészőket, hogy csak HTTPS-t használva férjenek hozzá a ballejaune.com / openresa.com webhelyhez (azaz soha ne használjanak HTTP-t). Ezt a fejlécet hosszú élettartammal telepítettük.
  • Expect-CT, amely arra kéri a kliens/böngészőt, hogy érvényesítse a tanúsítványok átláthatóságának követelményeit (azaz ellenőrizze, hogy webhelyünk tanúsítványai megjelennek-e a nyilvános CT naplókban), ami segít megelőzni a helytelen Netatoo tanúsítványok használatát.
  • Referrer-Policy, amely lehetővé teszi számunkra, hogy ellenőrizzük a "referer" (sic) fejléc értékét az oldalainkon kívüli linkek esetében. Esetünkben azt határozzuk meg, hogy a "referer" fejlécet ne állítsák be, amikor a navigáció HTTPS-ről HTTP-re történő visszalépést eredményez.

Független biztonsági auditok eredményei

A Netatoo "A" minősítést kap a független securityheaders.io szolgáltatástól, amely lehetővé teszi a bevezetett különböző elemek ellenőrzését. Ön is lefuttathatja a tesztet a ballejaune.com és az openresa.com webhelyekre, és megtekintheti a jelentést saját maga. Arra is bátorítjuk, hogy hasonlítsa össze a tesztet más webhelyekkel, amelyeket használ vagy használni szándékozik.

A Netatoo alkalmazás hoszting szerverei szintén "A+" minősítést kapnak a független Qualys SSL Labs szerver tesztjétől, amely iparági szabvány. Ön is lefuttathatja a tesztet és megtekintheti a jelentést saját maga. A jelentés megjegyzi, hogy nem vagyunk sebezhetőek a legújabb sebezhetőségekkel szemben, mint például a BEAST, POODLE és Heartbleed. Ismételten arra bátorítjuk, hogy hasonlítsa össze a tesztet más webhelyekkel, amelyeket használ vagy használni szándékozik.

Támadások megelőzése és cookie-k biztonsága

A szótár alapú támadások megelőzése érdekében bejelentkezési mechanizmusunk emellett fiók zárolási funkciót használ, ha egy helytelen bejelentkezési jelszót többször adnak meg.

A szerver által a kliensnek hitelesítési és kérésellenőrzési célokra küldött cookie-k mindig "HttpOnly" és "Secure" attribútumokkal vannak megjelölve, és a domain és útvonal értékeik megfelelően vannak beállítva a ballejaune.com / openresa.com használatához.

Online fizetések biztonsága

Az online fizetéseket illetően a Netatoo megfelel a PCI szabványnak. A gyakorlatban minden fizetést közvetlenül az Ön által választott fizetési átjáróval (PayPal, Paybox Verifone) dolgozunk fel. Mint ilyen, semmilyen érzékeny fizetési adat nem érintkezik a Netatoo tulajdonában lévő rendszerekkel (ehelyett átláthatóan átirányítják az Ön átjárójára, majd token alapú megközelítéssel kezelik).

Tranzakciós e-mailek biztonsága

A szolgáltatásaink által küldött tranzakciós e-mailek a legújabb biztonsági funkciókat használják az e-mailek érvényesítéséhez. Ezek közé tartoznak a SPF, DKIM és DMARC érvényes politikák. A DMARC esetében közzétett politikánk arra kéri a címzettek szervereit, hogy karanténba helyezzenek minden olyan üzenetet, amely nem felel meg a DMARC tesztnek. Ezek a funkciók fejlett eszközök, amelyek segítenek megelőzni a spam, spoofing és phishing támadásokat. Természetesen minden általunk küldött e-mail tartalmaz leiratkozási linkeket, és bevezettünk egy sebességkorlátozó rendszert is, hogy segítsünk megelőzni az e-mail bombázási támadásokat.

Netatoo belső biztonsági gyakorlatok

Szervezeti szinten a Netatoo alkalmazottai korlátozott hozzáféréssel rendelkeznek az adatokhoz a "szükséges tudás" és a "legkisebb jogosultság" biztonsági elvek alapján. A fejlesztési és tesztelési rendszerek egy belső hálózaton vannak telepítve, amely kívülről nem elérhető. Az alkalmazás forráskódját egy privát adattárban kezeljük, és nem tartalmaz érzékeny információkat (például API kulcsokat, jelszavakat vagy kapcsolati láncokat).

Szolgáltatások rendelkezésre állásának nyomon követése

Incidensek esetén (pl. alkalmazás leállások, teljesítményromlás vagy más) a szolgáltatásaink állapotát a Pingdom segítségével követheti az alábbi címen: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Frissítések és folyamatos bevált gyakorlatok

Végül különös figyelmet fordítunk arra, hogy rendszeresen frissítsük szervereinket és belső rendszereinket a legújabb biztonsági javítások érdekében. 60 naponta cseréljük jelszavainkat, és szinte minden alkalmazás és harmadik fél által használt szolgáltatás esetében kétfaktoros hitelesítést alkalmazunk.

Következtetés

Reméljük, hogy ezek az információk segítettek megérteni a Netatoo által az adatok biztonságának érdekében bevezetett főbb biztonsági mechanizmusokat. Folyamatosan felülvizsgáljuk biztonsági eljárásainkat, így ezek az információk a jövőben változhatnak, ahogy reagálunk a biztonsági környezet változásaira.

Lépjen kapcsolatba velünk

Postai cím:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

E-mail:
support@openresa.com

Frissítve: 2025. június 12., csütörtök
Feltételek és adatvédelmi irányelvek
Magyarország (HU)