Înapoi

Datele noastre sunt sigure?

Utilizăm protocoale standard din industrie și cele mai bune practici pentru a proteja datele și confidențialitatea dumneavoastră.
În mediul complex și reglementat de astăzi, utilizatorii noștri ne încredințează protecția datelor lor folosind instrumente și practici conforme cu standardele industriei. Această pagină oferă o privire de ansamblu asupra eforturilor depuse de Netatoo pentru a răspunde acestor cerințe.

În mediul complex și reglementat de astăzi, utilizatorii noștri ne încredințează protecția datelor lor folosind instrumente și practici conforme cu standardele industriei. Această pagină oferă o privire de ansamblu asupra eforturilor depuse de Netatoo pentru a răspunde acestor cerințe.

Securitatea bazei de date și a accesului

Pentru început, securizăm stratul nostru de persistență prin limitarea accesului la baza noastră de date a aplicației primare la stratul de aplicație și la un set fix de adrese IP cunoscute care aparțin Netatoo. Această limitare a accesului este realizată printr-o combinație de reguli de firewall, mecanisme de autentificare (care cer utilizatorilor să-și dovedească identitatea) și autorizare prin intermediul permisiunilor bazate pe roluri.

Backup-uri și restaurarea datelor

Abordăm posibilitatea unei pierderi catastrofale de date ale aplicației (de exemplu, în urma unei catastrofe naturale) prin crearea automată de backup-uri ale bazei de date cu o abordare geo-redundantă.

  • Creăm backup-uri complete și diferențiale, fiecare fiind criptată cu algoritmul AES-256.
  • Backup-urile complete ale bazelor de date au loc la câteva ore, în timp ce backup-urile diferențiale au loc, de obicei, la fiecare oră, iar backup-urile jurnalelor de tranzacții au loc, de obicei, la fiecare 10 până la 15 minute.
  • În caz de pierdere a datelor, suntem capabili să restaurăm datele la un moment precis pentru a minimiza pierderea de informații. Integritatea backup-urilor este verificată semi-automat și regulat pentru a ne asigura că datele stocate sunt conforme.
  • Backup-urile sunt păstrate timp de 90 de zile, apoi sunt distruse.

Audit de securitate și detectarea amenințărilor

Pentru a ne ajuta să menținem conformitatea reglementară, să înțelegem activitatea bazei de date și să înțelegem mai bine divergențele și anomaliile care ar putea indica încălcări presupuse ale securității (un alt aspect al GDPR al UE), am implementat un audit avansat care permite detectarea amenințărilor pe serverele noastre. Aceste servicii detectează amenințările potențiale pe măsură ce apar (de exemplu, conexiuni anormale la bazele de date, vulnerabilități de injecție SQL) și alertează imediat echipa noastră pentru a putea lua măsurile necesare. În cazul particular al GDPR, acest serviciu constituie un element cheie al mașinii tehnice care ne permite să detectăm încălcările de date și să notificăm autoritățile de control în cazul puțin probabil în care o astfel de situație ar apărea.

Securitatea conexiunilor și protocolul HTTPS

La nivelul stratului de aplicație, forțăm toate cererile primite să utilizeze conexiuni securizate HTTPS (HTTP pe TLS). În funcție de dispozitivul client, conexiunea poate utiliza TLS 1.0, TLS 1.1.1 sau TLS 1.2. Interzicem conexiunile care utilizează protocoalele depășite și vulnerabile SSL 2 și SSL 3.

Antete de securitate HTTP avansate

Conexiunile TLS acceptate sunt criptate folosind un certificat SSL care utilizează cel mai puternic standard web. În cadrul tuturor răspunsurilor HTTPS, serverele noastre includ un număr de antete de securitate avansată. Acestea includ în special:

  • X-XSS-Protection ordonă browserelor moderne să întrerupă comunicațiile atunci când detectează atacuri XSS (Cross-site Scripting) reflectate.
  • Content-Security-Policy solicită browserelor să ia măsuri stricte pentru a preveni cross-site scripting (XSS), deturnările de clicuri (clickjacking) și alte atacuri prin injecție de cod care rezultă din executarea de conținut malițios în contextul unei pagini web de încredere.
  • Strict-Transport-Security cunoscut și sub numele de HSTS. Solicită browserelor să acceseze ballejaune.com / openresa.com doar folosind HTTPS (adică să nu folosească niciodată HTTP). Am implementat acest antet cu o durată lungă de viață.
  • Expect-CT solicită unui client/browser web să aplice cerințele de transparență a certificatelor (adică să verifice că certificatele site-ului nostru apar în jurnalele CT publice), ceea ce ajută la prevenirea utilizării incorecte a certificatelor Netatoo.
  • Referrer-Policy ne permite să controlăm valoarea antetului "referer" (sic) pentru linkurile din afara paginilor noastre. În cazul nostru, specificăm că antetul "referer" nu trebuie să fie definit atunci când navigarea duce la o retrogradare de la HTTPS la HTTP.

Rezultatele auditurilor de securitate independente

Netatoo primește o notă "A" din partea serviciului independent securityheaders.io care permite verificarea diferitelor elemente implementate. Puteți executa testul la cerere pentru ballejaune.com și openresa.com și vizualiza raportul dumneavoastră. Vă încurajăm, de asemenea, să comparați testul cu alte site-uri web pe care le utilizați sau intenționați să le utilizați.

Serverele de găzduire a aplicațiilor Netatoo primesc, de asemenea, o notă "A+" de la testul de server independent Qualys SSL Labs, standard al industriei. Puteți executa testul la cerere și vizualiza raportul dumneavoastră. Raportul notează că nu suntem vulnerabili la unele dintre cele mai recente vulnerabilități precum BEAST, POODLE și Heartbleed. Din nou, vă încurajăm să comparați testul cu alte site-uri web pe care le utilizați sau intenționați să le utilizați.

Prevenirea atacurilor și securitatea cookie-urilor

Pentru a ajuta la prevenirea atacurilor de tip dicționar, mecanismul nostru de conectare utilizează, de asemenea, funcționalitatea de blocare a contului dacă o parolă de conectare incorectă este introdusă de mai multe ori.

Cookie-urile trimise de server către client în scopuri de autentificare și verificare a cererilor sunt întotdeauna marcate cu atributele "HttpOnly" și "Secure", iar valorile lor de domeniu și cale sunt setate corespunzător pentru utilizare cu ballejaune.com / openresa.com.

Securitatea plăților online

În ceea ce privește plățile online, Netatoo este conform cu standardul PCI. În practică, toate plățile sunt procesate direct cu gateway-ul de plată pe care l-ați ales (PayPal, Paybox Verifone). Ca atare, niciun detaliu de plată sensibil nu intră în contact cu sistemele deținute de Netatoo (în schimb, este redirecționat în mod transparent către gateway-ul dumneavoastră și apoi gestionat printr-o abordare bazată pe jetoane).

Securitatea e-mailurilor tranzacționale

E-mailurile tranzacționale trimise de serviciile noastre utilizează cele mai recente funcționalități de securitate pentru validarea e-mailurilor. Acestea includ politici valide de SPF, DKIM și DMARC. În cazul DMARC, politica noastră publicată solicită serverelor destinatarilor să pună în carantină toate mesajele care nu trec testul DMARC. Aceste funcționalități sunt instrumente avansate care ajută la prevenirea spamului, spoofing-ului și atacurilor de phishing. În mod natural, includem, de asemenea, linkuri de dezabonare în toate e-mailurile pe care le trimitem și am implementat un sistem de limitare a ratei pentru a ajuta la prevenirea atacurilor de bombardament cu e-mailuri.

Practici de securitate interne la Netatoo

La nivel organizațional, angajații Netatoo au acces restricționat la date pe principiile de securitate "necesitate de a cunoaște" și "cel mai mic privilegiu". Sistemele de dezvoltare și testare sunt implementate pe o rețea internă care nu este accesibilă din exterior. Codul sursă al aplicației este gestionat într-un depozit privat și nu conține informații sensibile (cum ar fi cheile API, parolele sau șirurile de conexiune).

Monitorizarea disponibilității serviciilor

În caz de incidente (de exemplu, defecțiuni ale aplicațiilor, performanțe degradate sau altele), puteți urmări starea serviciilor noastre prin Pingdom la următoarea adresă: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Actualizări și bune practici continue

În cele din urmă, acordăm o atenție deosebită actualizării regulate a serverelor și sistemelor noastre interne pentru a aduce cele mai recente corecții de securitate. Ne schimbăm parolele la fiecare 60 de zile și folosim autentificarea cu doi factori pe aproape toate aplicațiile și serviciile terțe pe care le utilizăm în cadrul activității noastre.

Concluzie

Sperăm că aceste informații v-au ajutat să înțelegeți principalele mecanisme de securitate implementate de Netatoo pentru a vă securiza datele. Revizuim continuu procedurile noastre de securitate, astfel încât aceste informații ar putea să se schimbe în viitor pe măsură ce reacționăm la evoluția peisajului de securitate.

Contactați-ne

Adresă poștală:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

E-mail:
support@openresa.com

Actualizat la joi, 12 iunie 2025
Condiții & politică de confidențialitate
România (RO)