Er dataene våre sikre?
Vi bruker bransjestandardprotokoller og beste praksis for å beskytte dine data og ditt personvern.
I dagens komplekse og regulerte miljø stoler våre brukere på oss for å beskytte deres data ved hjelp av verktøy og praksis som er i samsvar med bransjestandarder. Denne siden gir en oversikt over innsatsen Netatoo legger ned for å oppfylle disse kravene.
I dagens komplekse og regulerte miljø stoler våre brukere på oss for å beskytte deres data ved hjelp av verktøy og praksis som er i samsvar med bransjestandarder. Denne siden gir en oversikt over innsatsen Netatoo legger ned for å oppfylle disse kravene.
Sikkerhet for databasen og tilgang
For det første sikrer vi vårt vedvarende lag ved å begrense tilgangen til vår primære applikasjonsdatabase til applikasjonslaget og et fast sett med kjente IP-adresser som tilhører Netatoo. Denne tilgangsbegrensningen oppnås ved hjelp av en kombinasjon av brannmurregler, autentiseringsmekanismer (som krever at brukerne beviser sin identitet) og autorisasjon gjennom rollebaserte tillatelser.
Sikkerhetskopiering og gjenoppretting av data
Vi tar høyde for muligheten for katastrofalt tap av applikasjonsdata (for eksempel som følge av en naturkatastrofe) ved automatisk å opprette sikkerhetskopier av databasen med en geo-redundant tilnærming.
- Vi oppretter fullstendige og differensielle sikkerhetskopier, som hver er kryptert med AES-256-algoritmen.
- Fullstendige sikkerhetskopier av databasene skjer hver noen timer, mens differensielle sikkerhetskopier vanligvis skjer hver time, og sikkerhetskopier av transaksjonslogger skjer vanligvis hvert 10. til 15. minutt.
- Ved datatap kan vi gjenopprette dataene til et bestemt tidspunkt for å minimere tap av informasjon. Integriteten til sikkerhetskopiene blir sjekket semi-automatisk og regelmessig for å sikre at de lagrede dataene er i samsvar.
- Sikkerhetskopiene oppbevares i 90 dager, før de destrueres.
Sikkerhetsrevisjon og trusseldeteksjon
For å hjelpe oss med å opprettholde regelverkssamsvar, forstå databaseaktivitet og bedre forstå avvik og anomalier som kan indikere mistenkte sikkerhetsbrudd (et annet aspekt av GDPR i EU), har vi implementert en avansert revisjon som muliggjør trusseldeteksjon på våre servere. Disse tjenestene oppdager potensielle trusler etter hvert som de oppstår (f.eks. unormale databaseforbindelser, SQL-injeksjonssårbarheter) og varsler umiddelbart vårt team slik at de kan iverksette nødvendige tiltak. I det spesifikke tilfellet med GDPR, utgjør denne tjenesten en nøkkelkomponent i den tekniske maskinen som gjør det mulig for oss å oppdage databrudd og varsle tilsynsmyndighetene i det usannsynlige tilfellet at en slik situasjon skulle oppstå.
Sikkerhet for tilkoblinger og HTTPS-protokoll
På applikasjonslaget tvinger vi alle innkommende forespørsler til å bruke sikre HTTPS-tilkoblinger (HTTP over TLS). Avhengig av klientenheten kan tilkoblingen bruke TLS 1.0, TLS 1.1.1 eller TLS 1.2. Vi forbyr tilkoblinger som bruker de utdaterte og sårbare SSL 2 og SSL 3-protokollene.
Avanserte HTTP-sikkerhetsoverskrifter
De aksepterte TLS-tilkoblingene er kryptert ved hjelp av et SSL-sertifikat som bruker den sterkeste webstandarden. Som en del av alle HTTPS-svar inkluderer våre servere en rekke avanserte sikkerhetsoverskrifter. Disse inkluderer spesielt:
- X-XSS-Protection instruerer moderne nettlesere om å avbryte kommunikasjonen når de oppdager reflekterte XSS-angrep (Cross-site Scripting).
- Content-Security-Policy ber nettlesere om å ta strenge tiltak for å forhindre cross-site scripting (XSS), clickjacking og andre kodeinjeksjonsangrep som følge av utførelse av ondsinnet innhold i konteksten av en pålitelig nettside.
- Strict-Transport-Security, også kjent som HSTS. Ber nettlesere om kun å få tilgang til ballejaune.com / openresa.com ved hjelp av HTTPS (dvs. aldri bruke HTTP). Vi har implementert denne overskriften med en lang levetid.
- Expect-CT ber en klient/nettleser om å håndheve kravene til sertifikatgjennomsiktighet (dvs. sjekke at sertifikatene for vårt nettsted vises i offentlige CT-logger), noe som bidrar til å forhindre bruk av feil Netatoo-sertifikater.
- Referrer-Policy lar oss kontrollere verdien av "referer"-overskriften for lenker utenfor våre sider. I vårt tilfelle spesifiserer vi at "referer"-overskriften ikke skal settes når navigasjonen resulterer i en nedgradering fra HTTPS til HTTP.
Resultater fra uavhengige sikkerhetsrevisjoner
Netatoo mottar en karakter "A" fra den uavhengige tjenesten securityheaders.io som gjør det mulig å verifisere de ulike elementene som er implementert. Du kan kjøre testen på forespørsel for ballejaune.com og openresa.com og se rapporten selv. Vi oppfordrer deg også til å sammenligne testen med andre nettsteder du bruker eller har tenkt å bruke.
Netatoos applikasjonsservere mottar også en karakter "A+" fra den uavhengige servertesten Qualys SSL Labs, en bransjestandard. Du kan kjøre testen på forespørsel og se rapporten selv. Rapporten bemerker at vi ikke er sårbare for noen av de nyeste sårbarhetene som BEAST, POODLE og Heartbleed. Igjen, vi oppfordrer deg til å sammenligne testen med andre nettsteder du bruker eller har tenkt å bruke.
Forebygging av angrep og sikkerhet for informasjonskapsler
For å bidra til å forhindre ordbokangrep, bruker vår innloggingsmekanisme i tillegg funksjonen for kontolås hvis et feil passord blir angitt flere ganger.
Informasjonskapslene sendt av serveren til klienten for autentisering og forespørselsverifisering er alltid merket med attributtene "HttpOnly" og "Secure", og deres domene- og sti-verdier er satt på passende måte for bruk med ballejaune.com / openresa.com.
Sikkerhet for nettbetalinger
Når det gjelder nettbetalinger, er Netatoo i samsvar med PCI-standarden. I praksis behandles alle betalinger direkte med betalingsgatewayen du har valgt (PayPal, Paybox Verifone). Som sådan kommer ingen sensitive betalingsdetaljer i kontakt med systemene som tilhører Netatoo (i stedet blir de sømløst omdirigert til din gateway og deretter håndtert gjennom en tokenbasert tilnærming).
Sikkerhet for transaksjonelle e-poster
De transaksjonelle e-postene sendt av våre tjenester bruker de nyeste sikkerhetsfunksjonene for e-postvalidering. Dette inkluderer gyldige retningslinjer for SPF, DKIM og DMARC. I tilfelle av DMARC, ber vår publiserte policy mottakerens servere om å sette i karantene alle meldinger som ikke består DMARC-testen. Disse funksjonene er avanserte verktøy som bidrar til å forhindre spam, spoofing og phishing-angrep. Naturligvis inkluderer vi også avmeldingslenker i alle e-postene vi sender, og vi har implementert et system for hastighetsbegrensning for å bidra til å forhindre e-postbombardementangrep.
Interne sikkerhetspraksiser hos Netatoo
På organisasjonsnivå har Netatoo-ansatte begrenset tilgang til data basert på sikkerhetsprinsippene "need to know" og "least privilege". Utviklings- og testsystemene er distribuert på et internt nettverk som ikke er tilgjengelig utenfra. Kildekoden til applikasjonen administreres i et privat depot og inneholder ingen sensitiv informasjon (som API-nøkler, passord eller tilkoblingsstrenger).
Overvåking av tjenestetilgjengelighet
I tilfelle hendelser (f.eks. applikasjonsfeil, redusert ytelse eller andre), kan du følge statusen til våre tjenester via Pingdom på følgende adresse: http://stats.pingdom.com/rn0d9ch52vnj/1678478
Oppdateringer og kontinuerlig beste praksis
Til slutt legger vi stor vekt på å regelmessig oppdatere våre servere og interne systemer for å gi de nyeste sikkerhetsoppdateringene. Vi endrer våre passord hver 60. dag og bruker tofaktorautentisering på nesten alle applikasjoner og tredjepartstjenester vi bruker i vårt arbeid.
Konklusjon
Vi håper denne informasjonen har hjulpet deg med å forstå de viktigste sikkerhetsmekanismene Netatoo har implementert for å sikre dine data. Vi gjennomgår kontinuerlig våre sikkerhetsprosedyrer, slik at denne informasjonen kan endres i fremtiden etter hvert som vi reagerer på det skiftende sikkerhetslandskapet.
Kontakt oss
Postadresse:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE
E-post:
support@openresa.com
Oppdatert den torsdag 12. juni 2025
