Grįžti

Ar mūsų duomenys yra saugūs?

Mes naudojame pramonės standartinius protokolus ir geriausią praktiką, kad apsaugotume jūsų duomenis ir privatumą.
Šiandienos sudėtingoje ir reguliuojamoje aplinkoje mūsų vartotojai patiki mums savo duomenų apsaugą naudodamiesi įrankiais ir praktika, atitinkančia pramonės standartus. Šis puslapis pateikia Netatoo pastangų, skirtų šiems reikalavimams atitikti, apžvalgą.

Šiandienos sudėtingoje ir reguliuojamoje aplinkoje mūsų vartotojai patiki mums savo duomenų apsaugą naudodamiesi įrankiais ir praktika, atitinkančia pramonės standartus. Šis puslapis pateikia Netatoo pastangų, skirtų šiems reikalavimams atitikti, apžvalgą.

Duomenų bazės ir prieigos saugumas

Pirmiausia, mes apsaugome savo išsaugojimo sluoksnį ribodami prieigą prie mūsų pagrindinės programos duomenų bazės tik programos sluoksniui ir fiksuotam žinomų IP adresų rinkiniui, priklausančiam Netatoo. Šis prieigos ribojimas įgyvendinamas naudojant ugniasienės taisyklių, autentifikavimo mechanizmų (reikalaujančių, kad vartotojai įrodytų savo tapatybę) ir leidimų, pagrįstų vaidmenimis, derinį.

Duomenų atsarginės kopijos ir atkūrimas

Mes sprendžiame galimos katastrofiškos programos duomenų praradimo galimybę (pvz., dėl gamtos katastrofos) automatiškai kurdami duomenų bazės atsargines kopijas su georedundantiniu požiūriu.

  • Mes kuriame pilnas ir diferencines atsargines kopijas, kurių kiekviena yra užšifruota naudojant AES-256 algoritmą.
  • Pilnos duomenų bazės atsarginės kopijos kuriamos kas kelias valandas, o diferencinės atsarginės kopijos paprastai kas valandą, galiausiai, transakcijų žurnalų atsarginės kopijos paprastai kas 10–15 minučių.
  • Duomenų praradimo atveju mes galime atkurti duomenis iki tam tikro momento, kad sumažintume informacijos praradimą. Atsarginių kopijų vientisumas yra tikrinamas pusiau automatiškai ir reguliariai, siekiant užtikrinti, kad saugomi duomenys atitiktų.
  • Atsarginės kopijos saugomos 90 dienų, o po to sunaikinamos.

Saugumo auditas ir grėsmių aptikimas

Norėdami padėti išlaikyti reguliavimo atitiktį, suprasti duomenų bazės veiklą ir geriau suprasti skirtumus ir anomalijas, kurios gali rodyti įtariamus saugumo pažeidimus (kitas ES BDAR aspektas), mes įdiegėme pažangų auditą, leidžiantį aptikti grėsmes mūsų serveriuose. Šios paslaugos aptinka potencialias grėsmes, kai jos atsiranda (pvz., nenormalios duomenų bazės jungtys, SQL injekcijos pažeidžiamumai) ir nedelsiant įspėja mūsų komandą, kad ji galėtų imtis reikiamų veiksmų. Konkrečiai dėl BDAR, ši paslauga yra pagrindinis techninės mašinos elementas, leidžiantis mums aptikti duomenų pažeidimus ir pranešti priežiūros institucijoms, jei tokia situacija įvyktų.

Prisijungimų saugumas ir HTTPS protokolas

Programos sluoksnyje mes verčiame visas gaunamas užklausas naudoti saugias HTTPS (HTTP per TLS) jungtis. Priklausomai nuo kliento įrenginio, jungtis gali naudoti TLS 1.0, TLS 1.1.1 arba TLS 1.2. Mes draudžiame jungtis, naudojančias pasenusius ir pažeidžiamus SSL 2 ir SSL 3 protokolus.

Pažangios HTTP saugumo antraštės

Priimtos TLS jungtys yra užšifruotos naudojant SSL sertifikatą, naudojantį stipriausią interneto standartą. Visose HTTPS atsakymuose mūsų serveriai apima keletą pažangių saugumo antraščių. Tai apima:

  • X-XSS-Protection nurodo šiuolaikiniams naršyklėms nutraukti ryšius, kai jos aptinka atspindėtas XSS (Cross-site Scripting) atakas.
  • Content-Security-Policy reikalauja, kad naršyklės imtųsi griežtų priemonių, kad išvengtų cross-site scripting (XSS), clickjacking ir kitų kodo injekcijos atakų, atsirandančių dėl kenkėjiško turinio vykdymo patikimos svetainės kontekste.
  • Strict-Transport-Security, dar žinomas kaip HSTS. Reikalauja, kad naršyklės pasiektų ballejaune.com / openresa.com tik naudojant HTTPS (t. y. niekada nenaudoti HTTP). Mes įdiegėme šią antraštę su ilgu galiojimo laiku.
  • Expect-CT reikalauja, kad klientas/naršyklė taikytų sertifikatų skaidrumo reikalavimus (t. y. patikrintų, ar mūsų svetainės sertifikatai yra viešuose CT žurnaluose), kas padeda išvengti neteisingų Netatoo sertifikatų naudojimo.
  • Referrer-Policy leidžia mums kontroliuoti "referer" (sic) antraštės vertę nuorodoms už mūsų puslapių ribų. Mūsų atveju, mes nurodome, kad "referer" antraštė neturėtų būti nustatyta, kai naršymas baigiasi HTTPS sumažinimu iki HTTP.

Nepriklausomų saugumo auditų rezultatai

Netatoo gauna "A" įvertinimą iš nepriklausomos paslaugos securityheaders.io, leidžiančios patikrinti įdiegtus elementus. Galite atlikti testą pagal poreikį ballejaune.com ir openresa.com ir peržiūrėti ataskaitą patys. Mes taip pat skatiname jus palyginti testą su kitomis svetainėmis, kurias naudojate arba ketinate naudoti.

Netatoo programų prieglobos serveriai taip pat gauna "A+" įvertinimą iš nepriklausomo serverio testo Qualys SSL Labs, pramonės standarto. Galite atlikti testą pagal poreikį ir peržiūrėti ataskaitą patys. Ataskaita pažymi, kad mes nesame pažeidžiami kai kurioms naujausioms pažeidžiamybėms, tokioms kaip BEAST, POODLE ir Heartbleed. Dar kartą, mes skatiname jus palyginti testą su kitomis svetainėmis, kurias naudojate arba ketinate naudoti.

Atakų prevencija ir slapukų saugumas

Norėdami padėti išvengti žodyno atakų, mūsų prisijungimo mechanizmas papildomai naudoja paskyros užrakinimo funkciją, jei neteisingas prisijungimo slaptažodis įvedamas kelis kartus.

Slapukai, siunčiami serverio klientui autentifikavimo ir užklausų patikrinimo tikslais, visada pažymėti "HttpOnly" ir "Secure" atributais, o jų domeno ir kelio vertės nustatytos tinkamai naudoti su ballejaune.com / openresa.com.

Internetinių mokėjimų saugumas

Kalbant apie internetinius mokėjimus, Netatoo atitinka PCI standartą. Praktiškai visi mokėjimai yra apdorojami tiesiogiai su jūsų pasirinkta mokėjimo šliuzo paslauga (PayPal, Paybox Verifone). Todėl jokie jautrūs mokėjimo duomenys nesiliečia su Netatoo sistemomis (vietoj to, jie yra skaidriai nukreipiami į jūsų šliuzą ir tada tvarkomi naudojant žetonų pagrindu veikiančią metodiką).

Transakcinių el. laiškų saugumas

Transakciniai el. laiškai, siunčiami mūsų paslaugų, naudoja naujausias saugumo funkcijas el. laiškų patvirtinimui. Tai apima galiojančias SPF, DKIM ir DMARC politiką. DMARC atveju, mūsų paskelbta politika reikalauja, kad gavėjų serveriai karantinuotų visus pranešimus, kurie neišlaiko DMARC testo. Šios funkcijos yra pažangūs įrankiai, padedantys išvengti šlamšto, apsimetimo ir sukčiavimo atakų. Natūralu, kad mes taip pat įtraukiame atsisakymo nuorodas į visus siunčiamus el. laiškus ir įdiegėme srauto ribojimo sistemą, kad padėtume išvengti el. laiškų bombardavimo atakų.

Vidinės saugumo praktikos Netatoo

Organizaciniu lygmeniu Netatoo darbuotojai turi ribotą prieigą prie duomenų pagal "reikia žinoti" ir "mažiausio privilegijos" saugumo principus. Kūrimo ir testavimo sistemos yra diegiamos vidiniame tinkle, kuris nėra prieinamas iš išorės. Programos šaltinio kodas yra valdomas privačiame saugykloje ir jame nėra jokios jautrios informacijos (pvz., API raktų, slaptažodžių ar prisijungimo grandinių).

Paslaugų prieinamumo stebėjimas

Incidentų atveju (pvz., programų gedimai, sumažėjęs našumas ar kiti), galite stebėti mūsų paslaugų būklę per Pingdom šiuo adresu: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Atnaujinimai ir nuolatinė geriausia praktika

Galiausiai, mes skiriame ypatingą dėmesį reguliariai atnaujinti savo serverius ir vidines sistemas, kad būtų įdiegti naujausi saugumo pataisymai. Mes keičiame savo slaptažodžius kas 60 dienų ir naudojame dviejų veiksnių autentifikavimą beveik visose trečiųjų šalių programose ir paslaugose, kurias naudojame savo darbe.

Išvada

Tikimės, kad ši informacija padėjo jums suprasti pagrindinius Netatoo įdiegtus saugumo mechanizmus, skirtus jūsų duomenims apsaugoti. Mes nuolat peržiūrime savo saugumo procedūras, todėl ši informacija gali keistis ateityje, kai reaguosime į besikeičiantį saugumo kraštovaizdį.

Susisiekite su mumis

Pašto adresas:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

El. paštas:
support@openresa.com

Atnaujinta 2025 m. birželis 12 d., ketvirtadienis
Sąlygos ir privatumo politika
Lietuva (LT)