Atpakaļ

Vai mūsu dati ir droši?

Mēs izmantojam nozares standarta protokolus un labākās prakses, lai aizsargātu jūsu datus un privātumu.
Mūsdienu sarežģītajā un regulētajā vidē mūsu lietotāji uzticas mums, lai aizsargātu viņu datus, izmantojot rīkus un prakses, kas atbilst nozares standartiem. Šī lapa sniedz pārskatu par Netatoo centieniem atbilst šīm prasībām.

Mūsdienu sarežģītajā un regulētajā vidē mūsu lietotāji uzticas mums, lai aizsargātu viņu datus, izmantojot rīkus un prakses, kas atbilst nozares standartiem. Šī lapa sniedz pārskatu par Netatoo centieniem atbilst šīm prasībām.

Datu bāzes un piekļuves drošība

Sākumā mēs nodrošinām mūsu noturības slāni, ierobežojot piekļuvi mūsu primārajai lietojumprogrammas datu bāzei līdz lietojumprogrammas slānim un noteiktam zināmu IP adrešu kopumam, kas pieder Netatoo. Šis piekļuves ierobežojums tiek īstenots, izmantojot ugunsmūra noteikumu kombināciju, autentifikācijas mehānismus (prasot lietotājiem pierādīt savu identitāti) un atļaujas, izmantojot lomu balstītas atļaujas.

Datu dublēšana un atjaunošana

Mēs risinām iespēju zaudēt lietojumprogrammas datus katastrofālos gadījumos (piemēram, dabas katastrofas rezultātā), automātiski izveidojot datu bāzes dublējumus ar ģeogrāfiski redundantas pieejas palīdzību.

  • Mēs izveidojam pilnus un diferencētus dublējumus, no kuriem katrs ir šifrēts ar AES-256 algoritmu.
  • Pilnās datu bāzes dublējumkopijas tiek veiktas ik pēc dažām stundām, savukārt diferencētie dublējumi parasti notiek katru stundu, un transakciju žurnālu dublējumi parasti notiek ik pēc 10 līdz 15 minūtēm.
  • Datu zuduma gadījumā mēs varam atjaunot datus konkrētā brīdī, lai samazinātu informācijas zudumu. Dublējumu integritāte tiek pārbaudīta daļēji automātiski un regulāri, lai nodrošinātu, ka uzglabātie dati ir atbilstoši.
  • Dublējumi tiek glabāti 90 dienas, pēc tam tie tiek iznīcināti.

Drošības audits un draudu atklāšana

Lai palīdzētu mums uzturēt atbilstību normatīvajiem aktiem, izprast datu bāzes darbību un labāk izprast novirzes un anomālijas, kas varētu norādīt uz iespējamiem drošības pārkāpumiem (cits aspekts GDPR ES), mēs esam izvietojuši uzlabotu auditu, kas ļauj atklāt draudus mūsu serveros. Šie pakalpojumi atklāj potenciālos draudus, tiklīdz tie notiek (piemēram, neparastas pieslēgšanās datu bāzēm, SQL injekcijas ievainojamības) un nekavējoties brīdina mūsu komandu, lai tā varētu veikt nepieciešamos pasākumus. Īpaši attiecībā uz GDPR šis pakalpojums ir galvenais tehniskās mašīnas elements, kas ļauj mums atklāt datu pārkāpumus un paziņot uzraudzības iestādēm maz ticamā gadījumā, ja šāda situācija notiktu.

Savienojumu drošība un HTTPS protokols

Lietojumprogrammas slānī mēs piespiežam visus ienākošos pieprasījumus izmantot drošus HTTPS savienojumus (HTTP uz TLS). Atkarībā no klienta ierīces savienojums var izmantot TLS 1.0, TLS 1.1.1 vai TLS 1.2. Mēs aizliedzam savienojumus, kas izmanto novecojušus un neaizsargātus SSL 2 un SSL 3 protokolus.

Uzlabotie HTTP drošības galvenes

Pieņemtie TLS savienojumi ir šifrēti, izmantojot SSL sertifikātu, kas izmanto spēcīgāko tīmekļa standartu. Visu HTTPS atbilžu ietvaros mūsu serveri ietver vairākas uzlabotas drošības galvenes. Tās ietver:

  • X-XSS-Protection liek moderniem pārlūkiem pārtraukt saziņu, kad tie atklāj atspoguļotas XSS (Cross-site Scripting) uzbrukumus.
  • Content-Security-Policy pieprasa pārlūkiem veikt stingrus pasākumus, lai novērstu cross-site scripting (XSS), klikšķu nolaupīšanu (clickjacking) un citus koda ievades uzbrukumus, kas rodas no ļaunprātīga satura izpildes uzticamas tīmekļa lapas kontekstā.
  • Strict-Transport-Security, pazīstams arī kā HSTS. Pieprasa pārlūkiem piekļūt ballejaune.com / openresa.com tikai izmantojot HTTPS (t.i., nekad neizmantot HTTP). Mēs esam izvietojuši šo galveni ar ilgu derīguma termiņu.
  • Expect-CT pieprasa klientam/tīmekļa pārlūkam piemērot sertifikātu pārredzamības prasības (t.i., pārbaudīt, vai mūsu vietnes sertifikāti parādās publiskos CT žurnālos), kas palīdz novērst nepareizu Netatoo sertifikātu izmantošanu.
  • Referrer-Policy ļauj mums kontrolēt "referer" (sic) galvenes vērtību saites ārpus mūsu lapām. Mūsu gadījumā mēs norādām, ka "referer" galvene nedrīkst būt noteikta, kad navigācija noved pie HTTPS uz HTTP pazemināšanas.

Neatkarīgu drošības auditu rezultāti

Netatoo saņem "A" vērtējumu no neatkarīgā pakalpojuma securityheaders.io, kas ļauj pārbaudīt dažādus ieviestos elementus. Jūs varat veikt testu pēc pieprasījuma ballejaune.com un openresa.com un apskatīt ziņojumu pats. Mēs arī aicinām jūs salīdzināt testu ar citām tīmekļa vietnēm, kuras izmantojat vai plānojat izmantot.

Netatoo lietojumprogrammu mitināšanas serveri saņem arī "A+" vērtējumu no neatkarīgā servera testa Qualys SSL Labs, kas ir nozares standarts. Jūs varat veikt testu pēc pieprasījuma un apskatīt ziņojumu pats. Ziņojumā norādīts, ka mēs neesam neaizsargāti pret dažām no jaunākajām ievainojamībām, piemēram, BEAST, POODLE un Heartbleed. Atkal, mēs aicinām jūs salīdzināt testu ar citām tīmekļa vietnēm, kuras izmantojat vai plānojat izmantot.

Uzbrukumu novēršana un sīkdatņu drošība

Lai palīdzētu novērst vārdnīcas uzbrukumus, mūsu pieteikšanās mehānisms papildus izmanto konta bloķēšanas funkcionalitāti, ja nepareiza pieteikšanās parole tiek ievadīta vairākas reizes.

Sīkdatnes, kuras serveris nosūta klientam autentifikācijas un pieprasījumu pārbaudes nolūkos, vienmēr tiek marķētas ar "HttpOnly" un "Secure" atribūtiem, un to domēna un ceļa vērtības ir noteiktas atbilstoši lietošanai ar ballejaune.com / openresa.com.

Tiešsaistes maksājumu drošība

Attiecībā uz tiešsaistes maksājumiem Netatoo atbilst PCI standartam. Praksē visi maksājumi tiek apstrādāti tieši ar jūsu izvēlēto maksājumu vārteju (PayPal, Paybox Verifone). Tā rezultātā, nekādi jutīgi maksājumu dati nesaskaras ar Netatoo piederošām sistēmām (tā vietā tie tiek caurspīdīgi novirzīti uz jūsu vārteju un pēc tam pārvaldīti, izmantojot uz žetoniem balstītu pieeju).

Transakciju e-pastu drošība

Transakciju e-pasti, ko nosūta mūsu pakalpojumi, izmanto jaunākās drošības funkcijas e-pastu validācijai. Tas ietver derīgas SPF, DKIM un DMARC politikas. DMARC gadījumā mūsu publicētā politika pieprasa saņēmēju serveriem ievietot karantīnā visus ziņojumus, kas neiztur DMARC testu. Šīs funkcijas ir uzlaboti rīki, kas palīdz novērst surogātpastu, spoofing un pikšķerēšanas uzbrukumus. Protams, mēs arī iekļaujam atteikšanās saites visos e-pastos, ko nosūtām, un esam ieviesuši ātruma ierobežošanas sistēmu, lai palīdzētu novērst e-pastu bombardēšanas uzbrukumus.

Netatoo iekšējās drošības prakses

Organizācijas līmenī Netatoo darbiniekiem ir ierobežota piekļuve datiem, pamatojoties uz drošības principiem "vajadzība zināt" un "mazākais privilēģijas". Izstrādes un testēšanas sistēmas tiek izvietotas iekšējā tīklā, kas nav pieejams no ārpuses. Lietojumprogrammas avota kods tiek pārvaldīts privātā repozitorijā un nesatur nekādu sensitīvu informāciju (piemēram, API atslēgas, paroles vai savienojuma virknes).

Pakalpojumu pieejamības uzraudzība

Incidentu gadījumā (piemēram, lietojumprogrammu kļūmes, samazināta veiktspēja vai citi), jūs varat sekot mūsu pakalpojumu statusam, izmantojot Pingdom šajā adresē: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Atjauninājumi un nepārtrauktas labās prakses

Visbeidzot, mēs pievēršam īpašu uzmanību regulāri atjaunināt mūsu serverus un iekšējās sistēmas, lai nodrošinātu jaunākos drošības labojumus. Mēs mainām savas paroles ik pēc 60 dienām un izmantojam divfaktoru autentifikāciju gandrīz visās lietojumprogrammās un trešo pušu pakalpojumos, ko izmantojam mūsu darbā.

Secinājums

Mēs ceram, ka šī informācija jums palīdzēja izprast galvenos drošības mehānismus, ko Netatoo ieviesis, lai aizsargātu jūsu datus. Mēs nepārtraukti pārskatām savas drošības procedūras, tāpēc šī informācija var mainīties nākotnē, reaģējot uz drošības vides izmaiņām.

Sazinieties ar mums

Pasta adrese:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

E-pasts:
support@openresa.com

Atjaunināts ceturtdiena, 2025. gada 12. jūnijs
Noteikumi un privātuma politika
Latvija (LV)