Назад

Наши данные защищены?

Мы используем стандартные протоколы и лучшие практики индустрии для защиты ваших данных и вашей конфиденциальности.
В сегодняшней сложной и регулируемой среде наши пользователи доверяют нам защиту своих данных с помощью инструментов и практик, соответствующих отраслевым стандартам. Эта страница дает обзор усилий, предпринимаемых Netatoo для соответствия этим требованиям.

В сегодняшней сложной и регулируемой среде наши пользователи доверяют нам защиту своих данных с помощью инструментов и практик, соответствующих отраслевым стандартам. Эта страница дает обзор усилий, предпринимаемых Netatoo для соответствия этим требованиям.

Безопасность базы данных и доступов

Для начала мы защищаем наш уровень хранения данных, ограничивая доступ к нашей основной базе данных приложения только уровнем приложения и фиксированным набором известных IP-адресов, принадлежащих Netatoo. Это ограничение доступа осуществляется с помощью комбинации правил брандмауэра, механизмов аутентификации (требующих от пользователей подтверждения своей личности) и авторизации через разрешения, основанные на ролях.

Резервное копирование и восстановление данных

Мы рассматриваем возможность катастрофической потери данных приложения (например, в результате стихийного бедствия) путем автоматического создания резервных копий базы данных с гео-избыточным подходом.

  • Мы создаем полные и дифференциальные резервные копии, каждая из которых шифруется с использованием алгоритма AES-256.
  • Полные резервные копии баз данных создаются каждые несколько часов, в то время как дифференциальные резервные копии обычно создаются каждый час, а резервные копии журналов транзакций обычно создаются каждые 10-15 минут.
  • В случае потери данных мы можем восстановить данные на определенный момент времени, чтобы минимизировать потерю информации. Целостность резервных копий проверяется полуавтоматически и регулярно, чтобы гарантировать соответствие хранимых данных.
  • Резервные копии хранятся в течение 90 дней, а затем уничтожаются.

Аудит безопасности и обнаружение угроз

Чтобы помочь нам поддерживать нормативное соответствие, понимать активность базы данных и лучше понимать расхождения и аномалии, которые могут указывать на предполагаемые нарушения безопасности (еще один аспект GDPR ЕС), мы внедрили продвинутый аудит для обнаружения угроз на наших серверах. Эти службы обнаруживают потенциальные угрозы по мере их возникновения (например, аномальные подключения к базам данных, уязвимости SQL-инъекций) и немедленно уведомляют нашу команду, чтобы она могла принять необходимые меры. В частности, в случае GDPR эта служба является ключевым элементом технической машины, которая позволяет нам обнаруживать утечки данных и уведомлять контролирующие органы в маловероятном случае возникновения такой ситуации.

Безопасность соединений и протокол HTTPS

На уровне приложения мы заставляем все входящие запросы использовать защищенные соединения HTTPS (HTTP через TLS). В зависимости от клиентского устройства соединение может использовать TLS 1.0, TLS 1.1.1 или TLS 1.2. Мы запрещаем соединения, использующие устаревшие и уязвимые протоколы SSL 2 и SSL 3.

Продвинутые заголовки безопасности HTTP

Принятые соединения TLS шифруются с использованием SSL-сертификата, соответствующего самому сильному веб-стандарту. В рамках всех ответов HTTPS наши серверы включают ряд продвинутых заголовков безопасности. К ним относятся:

  • X-XSS-Protection приказывает современным браузерам прерывать связь при обнаружении отраженных атак XSS (Cross-site Scripting).
  • Content-Security-Policy требует от браузеров принимать строгие меры для предотвращения межсайтовых скриптовых атак (XSS), кликджекинга и других атак с внедрением кода, возникающих в результате выполнения вредоносного контента в контексте доверенной веб-страницы.
  • Strict-Transport-Security, также известный как HSTS. Требует от браузеров обращаться к ballejaune.com / openresa.com только с использованием HTTPS (т.е. никогда не использовать HTTP). Мы внедрили этот заголовок с длительным сроком действия.
  • Expect-CT требует от клиента/веб-браузера соблюдать требования прозрачности сертификатов (т.е. проверять, что сертификаты нашего сайта появляются в публичных журналах CT), что помогает предотвратить использование неправильных сертификатов Netatoo.
  • Referrer-Policy позволяет нам контролировать значение заголовка "referer" (sic) для ссылок за пределами наших страниц. В нашем случае мы указываем, что заголовок "referer" не должен устанавливаться, когда навигация приводит к понижению уровня с HTTPS на HTTP.

Результаты независимых аудитов безопасности

Netatoo получает оценку "A" от независимой службы securityheaders.io, которая позволяет проверить различные внедренные элементы. Вы можете выполнить тест по запросу для ballejaune.com и openresa.com и просмотреть отчет самостоятельно. Мы также рекомендуем вам сравнить тест с другими веб-сайтами, которые вы используете или планируете использовать.

Серверы хостинга приложений Netatoo также получают оценку "A+" от независимого теста сервера Qualys SSL Labs, индустриального стандарта. Вы можете выполнить тест по запросу и просмотреть отчет самостоятельно. Отчет отмечает, что мы не уязвимы для некоторых из самых последних уязвимостей, таких как BEAST, POODLE и Heartbleed. Снова, мы рекомендуем вам сравнить тест с другими веб-сайтами, которые вы используете или планируете использовать.

Предотвращение атак и безопасность cookies

Чтобы помочь предотвратить атаки словарей, наш механизм входа в систему дополнительно использует функцию блокировки учетной записи, если неправильный пароль для входа вводится несколько раз.

Cookies, отправляемые сервером клиенту для целей аутентификации и проверки запросов, всегда помечаются атрибутами "HttpOnly" и "Secure", а их значения домена и пути устанавливаются соответствующим образом для использования с ballejaune.com / openresa.com.

Безопасность онлайн-платежей

Что касается онлайн-платежей, Netatoo соответствует стандарту PCI. На практике все платежи обрабатываются напрямую с выбранным вами платежным шлюзом (PayPal, Paybox Verifone). Таким образом, никакие чувствительные платежные данные не контактируют с системами, принадлежащими Netatoo (вместо этого они прозрачно перенаправляются на ваш шлюз и затем обрабатываются с использованием подхода на основе токенов).

Безопасность транзакционных электронных писем

Транзакционные электронные письма, отправляемые нашими службами, используют последние функции безопасности для проверки электронных писем. Это включает в себя действительные политики SPF, DKIM и DMARC. В случае DMARC наша опубликованная политика требует от серверов получателей помещать в карантин все сообщения, которые не проходят тест DMARC. Эти функции являются продвинутыми инструментами, которые помогают предотвратить спам, подделку и фишинговые атаки. Естественно, мы также включаем ссылки для отписки во все отправляемые нами электронные письма и внедрили систему ограничения скорости, чтобы помочь предотвратить атаки с бомбардировкой электронными письмами.

Внутренние практики безопасности в Netatoo

На организационном уровне сотрудники Netatoo имеют ограниченный доступ к данным на основе принципов безопасности "необходимость знать" и "минимальные привилегии". Системы разработки и тестирования развернуты в внутренней сети, которая недоступна извне. Исходный код приложения управляется в частном репозитории и не содержит никакой чувствительной информации (например, ключей API, паролей или строк подключения).

Мониторинг доступности услуг

В случае инцидентов (например, сбоев приложений, ухудшения производительности или других) вы можете отслеживать состояние наших услуг через Pingdom по следующему адресу: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Обновления и постоянные лучшие практики

Наконец, мы уделяем особое внимание регулярному обновлению наших серверов и внутренних систем, чтобы обеспечить последние исправления безопасности. Мы меняем наши пароли каждые 60 дней и используем двухфакторную аутентификацию на почти всех приложениях и сторонних сервисах, которые мы используем в нашей работе.

Заключение

Мы надеемся, что эта информация помогла вам понять основные механизмы безопасности, внедренные Netatoo для защиты ваших данных. Мы постоянно пересматриваем наши процедуры безопасности, так что эта информация может измениться в будущем по мере того, как мы реагируем на изменения в области безопасности.

Свяжитесь с нами

Почтовый адрес:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

Электронная почта:
support@openresa.com

Обновлено четверг, 12 июня 2025 г.
Условия и политика конфиденциальности
Украина (RU)