Powrót

Czy nasze dane są bezpieczne?

Używamy standardowych protokołów branżowych i najlepszych praktyk, aby chronić Twoje dane i prywatność.
W dzisiejszym złożonym i regulowanym środowisku nasi użytkownicy powierzają nam ochronę swoich danych za pomocą narzędzi i praktyk zgodnych z normami branżowymi. Ta strona przedstawia przegląd działań podejmowanych przez Netatoo w celu spełnienia tych wymagań.

W dzisiejszym złożonym i regulowanym środowisku nasi użytkownicy powierzają nam ochronę swoich danych za pomocą narzędzi i praktyk zgodnych z normami branżowymi. Ta strona przedstawia przegląd działań podejmowanych przez Netatoo w celu spełnienia tych wymagań.

Bezpieczeństwo bazy danych i dostępu

Na początek zabezpieczamy naszą warstwę trwałości, ograniczając dostęp do naszej głównej bazy danych aplikacji do warstwy aplikacji i ustalonego zestawu znanych adresów IP należących do Netatoo. To ograniczenie dostępu jest realizowane za pomocą kombinacji reguł zapory, mechanizmów uwierzytelniania (wymagających od użytkowników potwierdzenia swojej tożsamości) i autoryzacji poprzez uprawnienia oparte na rolach.

Kopie zapasowe i przywracanie danych

Podchodzimy do możliwości katastrofalnej utraty danych aplikacji (na przykład w wyniku klęski żywiołowej) poprzez automatyczne tworzenie kopii zapasowych bazy danych z podejściem georedundantnym.

  • Tworzymy pełne i różnicowe kopie zapasowe, z których każda jest szyfrowana algorytmem AES-256.
  • Pełne kopie zapasowe baz danych są tworzone co kilka godzin, podczas gdy kopie różnicowe zazwyczaj co godzinę, a kopie zapasowe dzienników transakcji zazwyczaj co 10 do 15 minut.
  • W przypadku utraty danych jesteśmy w stanie przywrócić dane do określonego momentu, aby zminimalizować utratę informacji. Integralność kopii zapasowych jest regularnie i półautomatycznie sprawdzana, aby upewnić się, że przechowywane dane są zgodne.
  • Kopie zapasowe są przechowywane przez 90 dni, a następnie niszczone.

Audyt bezpieczeństwa i wykrywanie zagrożeń

Aby pomóc nam w utrzymaniu zgodności z przepisami, zrozumieniu aktywności bazy danych i lepszemu zrozumieniu rozbieżności i anomalii, które mogą wskazywać na domniemane naruszenia bezpieczeństwa (kolejny aspekt RODO UE), wdrożyliśmy zaawansowany audyt umożliwiający wykrywanie zagrożeń na naszych serwerach. Usługi te wykrywają potencjalne zagrożenia w miarę ich występowania (np. nietypowe połączenia z bazami danych, podatności na wstrzykiwanie SQL) i natychmiast powiadamiają nasz zespół, aby mógł podjąć niezbędne działania. W szczególnym przypadku RODO usługa ta stanowi kluczowy element techniczny, który pozwala nam wykrywać naruszenia danych i powiadamiać organy nadzorcze w mało prawdopodobnym przypadku wystąpienia takiej sytuacji.

Bezpieczeństwo połączeń i protokół HTTPS

Na poziomie warstwy aplikacji wymuszamy, aby wszystkie przychodzące żądania korzystały z bezpiecznych połączeń HTTPS (HTTP na TLS). W zależności od urządzenia klienckiego połączenie może korzystać z TLS 1.0, TLS 1.1.1 lub TLS 1.2. Zabrania się połączeń korzystających z przestarzałych i podatnych na ataki protokołów SSL 2 i SSL 3.

Zaawansowane nagłówki bezpieczeństwa HTTP

Akceptowane połączenia TLS są szyfrowane za pomocą certyfikatu SSL korzystającego z najsilniejszego standardu internetowego. W ramach wszystkich odpowiedzi HTTPS nasze serwery zawierają szereg zaawansowanych nagłówków bezpieczeństwa. Obejmują one między innymi:

  • X-XSS-Protection nakazuje nowoczesnym przeglądarkom przerwanie komunikacji, gdy wykryją one odblaskowe ataki XSS (Cross-site Scripting).
  • Content-Security-Policy nakazuje przeglądarkom podejmowanie surowych środków w celu zapobiegania cross-site scripting (XSS), clickjacking i innym atakom polegającym na wstrzykiwaniu kodu wynikającym z wykonywania złośliwej zawartości w kontekście zaufanej strony internetowej.
  • Strict-Transport-Security, znany również jako HSTS. Nakazuje przeglądarkom dostęp do ballejaune.com / openresa.com tylko przy użyciu HTTPS (tj. nigdy nie używać HTTP). Wdrożyliśmy ten nagłówek z długim czasem życia.
  • Expect-CT nakazuje klientowi/przeglądarce internetowej egzekwowanie wymagań dotyczących przejrzystości certyfikatów (tj. sprawdzanie, czy certyfikaty naszej strony pojawiają się w publicznych dziennikach CT), co pomaga zapobiegać używaniu nieprawidłowych certyfikatów Netatoo.
  • Referrer-Policy pozwala nam kontrolować wartość nagłówka "referer" (sic) dla linków poza naszymi stronami. W naszym przypadku określamy, że nagłówek "referer" nie powinien być ustawiany, gdy nawigacja prowadzi do obniżenia poziomu z HTTPS do HTTP.

Wyniki niezależnych audytów bezpieczeństwa

Netatoo otrzymuje ocenę "A" od niezależnej usługi securityheaders.io, która pozwala zweryfikować różne wdrożone elementy. Możesz uruchomić test na żądanie dla ballejaune.com i openresa.com i samodzielnie zobaczyć raport. Zachęcamy również do porównania testu z innymi stronami internetowymi, z których korzystasz lub zamierzasz korzystać.

Serwery hostingowe aplikacji Netatoo otrzymują również ocenę "A+" z niezależnego testu serwera Qualys SSL Labs, standardu branżowego. Możesz uruchomić test na żądanie i samodzielnie zobaczyć raport. Raport stwierdza, że nie jesteśmy podatni na niektóre z najnowszych podatności, takie jak BEAST, POODLE i Heartbleed. Ponownie zachęcamy do porównania testu z innymi stronami internetowymi, z których korzystasz lub zamierzasz korzystać.

Zapobieganie atakom i bezpieczeństwo plików cookie

Aby pomóc w zapobieganiu atakom słownikowym, nasz mechanizm logowania dodatkowo wykorzystuje funkcję blokady konta, jeśli hasło logowania zostanie wprowadzone nieprawidłowo kilka razy.

Pliki cookie wysyłane przez serwer do klienta w celach uwierzytelniania i weryfikacji żądań są zawsze oznaczane atrybutami "HttpOnly" i "Secure", a ich wartości domeny i ścieżki są odpowiednio ustawiane do użytku z ballejaune.com / openresa.com.

Bezpieczeństwo płatności online

Jeśli chodzi o płatności online, Netatoo jest zgodne z normą PCI. W praktyce wszystkie płatności są przetwarzane bezpośrednio z wybraną przez Ciebie bramką płatniczą (PayPal, Paybox Verifone). W związku z tym żadne wrażliwe dane dotyczące płatności nie mają kontaktu z systemami należącymi do Netatoo (zamiast tego są one transparentnie przekierowywane do Twojej bramki i następnie obsługiwane za pomocą podejścia opartego na tokenach).

Bezpieczeństwo e-maili transakcyjnych

E-maile transakcyjne wysyłane przez nasze usługi wykorzystują najnowsze funkcje bezpieczeństwa do weryfikacji e-maili. Obejmuje to między innymi prawidłowe polityki SPF, DKIM i DMARC. W przypadku DMARC nasza opublikowana polityka nakazuje serwerom odbiorców umieszczanie w kwarantannie wszystkich wiadomości, które nie przejdą testu DMARC. Te funkcje to zaawansowane narzędzia, które pomagają zapobiegać spamowi, spoofingowi i atakom phishingowym. Naturalnie, do wszystkich wysyłanych przez nas e-maili dołączamy również linki do rezygnacji z subskrypcji, a także wdrożyliśmy system ograniczania przepustowości, aby pomóc w zapobieganiu atakom polegającym na bombardowaniu e-mailami.

Wewnętrzne praktyki bezpieczeństwa w Netatoo

Na poziomie organizacyjnym pracownicy Netatoo mają ograniczony dostęp do danych zgodnie z zasadami bezpieczeństwa "potrzeby wiedzy" i "najmniejszego przywileju". Systemy deweloperskie i testowe są wdrażane w sieci wewnętrznej, która nie jest dostępna z zewnątrz. Kod źródłowy aplikacji jest zarządzany w prywatnym repozytorium i nie zawiera żadnych wrażliwych informacji (takich jak klucze API, hasła czy łańcuchy połączeń).

Monitorowanie dostępności usług

W przypadku incydentów (np. awarii aplikacji, pogorszenia wydajności lub innych) możesz śledzić stan naszych usług za pośrednictwem Pingdom pod adresem: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Aktualizacje i ciągłe dobre praktyki

Na koniec, przywiązujemy szczególną uwagę do regularnego aktualizowania naszych serwerów i systemów wewnętrznych, aby wprowadzać najnowsze poprawki bezpieczeństwa. Zmieniamy nasze hasła co 60 dni i używamy uwierzytelniania dwuskładnikowego w prawie wszystkich aplikacjach i usługach zewnętrznych, z których korzystamy w ramach naszej działalności.

Podsumowanie

Mamy nadzieję, że te informacje pomogły Ci zrozumieć główne mechanizmy bezpieczeństwa wdrożone przez Netatoo w celu zabezpieczenia Twoich danych. Ciągle przeglądamy nasze procedury bezpieczeństwa, więc te informacje mogą się zmieniać w przyszłości, gdy będziemy reagować na zmieniający się krajobraz bezpieczeństwa.

Skontaktuj się z nami

Adres pocztowy:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

E-mail:
support@openresa.com

Zaktualizowano czwartek, 12 czerwca 2025
Warunki i polityka prywatności
Polska (PL)