Späť

Sú naše údaje zabezpečené?

Používame štandardné protokoly v odvetví a osvedčené postupy na ochranu vašich údajov a súkromia.
V dnešnom zložitom a regulovanom prostredí nám naši používatelia zverujú ochranu svojich údajov pomocou nástrojov a postupov, ktoré sú v súlade s priemyselnými normami. Táto stránka poskytuje prehľad o úsilí, ktoré Netatoo vynakladá na splnenie týchto požiadaviek.

V dnešnom zložitom a regulovanom prostredí nám naši používatelia zverujú ochranu svojich údajov pomocou nástrojov a postupov, ktoré sú v súlade s priemyselnými normami. Táto stránka poskytuje prehľad o úsilí, ktoré Netatoo vynakladá na splnenie týchto požiadaviek.

Bezpečnosť databázy a prístupov

Na začiatok zabezpečujeme našu vrstvu perzistencie obmedzením prístupu k našej primárnej databáze aplikácie na aplikačnú vrstvu a na pevne stanovenú sadu známych IP adries patriacich Netatoo. Toto obmedzenie prístupu sa realizuje pomocou kombinácie pravidiel firewallu, autentifikačných mechanizmov (vyžadujúcich, aby používatelia preukázali svoju identitu) a autorizácie prostredníctvom povolení založených na rolách.

Zálohovanie a obnova údajov

Riešime možnosť katastrofálnej straty aplikačných údajov (napríklad v dôsledku prírodnej katastrofy) automatickým vytváraním záloh databázy s georedundantným prístupom.

  • Vytvárame úplné a rozdielové zálohy, z ktorých každá je šifrovaná algoritmom AES-256.
  • Úplné zálohy databáz sa vykonávajú každých niekoľko hodín, zatiaľ čo rozdielové zálohy sa zvyčajne vykonávajú každú hodinu, a zálohy transakčných denníkov sa zvyčajne vykonávajú každých 10 až 15 minút.
  • V prípade straty údajov sme schopní obnoviť údaje k určitému časovému bodu, aby sme minimalizovali stratu informácií. Integrita záloh sa kontroluje polautomaticky a pravidelne, aby sa zabezpečilo, že uložené údaje sú v súlade.
  • Zálohy sa uchovávajú 90 dní, potom sú zničené.

Bezpečnostný audit a detekcia hrozieb

Aby sme si pomohli udržať regulačnú súladnosť, pochopiť aktivitu databázy a lepšie pochopiť odchýlky a anomálie, ktoré by mohli naznačovať predpokladané porušenia bezpečnosti (ďalší aspekt GDPR EÚ), nasadili sme pokročilý audit umožňujúci detekciu hrozieb na našich serveroch. Tieto služby detekujú potenciálne hrozby, keď sa vyskytnú (napr. abnormálne pripojenia k databázam, zraniteľnosti SQL injekcie) a okamžite upozorňujú náš tím, aby mohol prijať potrebné opatrenia. V prípade GDPR je táto služba kľúčovým prvkom technického mechanizmu, ktorý nám umožňuje detekovať porušenia údajov a informovať kontrolné orgány v nepravdepodobnom prípade, že by k takejto situácii došlo.

Bezpečnosť pripojení a protokol HTTPS

Na úrovni aplikačnej vrstvy nútime všetky prichádzajúce požiadavky používať zabezpečené pripojenia HTTPS (HTTP cez TLS). Podľa klientského zariadenia môže pripojenie používať TLS 1.0, TLS 1.1.1 alebo TLS 1.2. Zakazujeme pripojenia používajúce zastarané a zraniteľné protokoly SSL 2 a SSL 3.

Pokročilé bezpečnostné hlavičky HTTP

Akceptované pripojenia TLS sú šifrované pomocou SSL certifikátu používajúceho najsilnejší webový štandard. V rámci všetkých odpovedí HTTPS naše servery zahŕňajú niekoľko pokročilých bezpečnostných hlavičiek. Tieto zahŕňajú najmä:

  • X-XSS-Protection nariaďuje moderným prehliadačom prerušiť komunikáciu, keď zistia odrazené útoky XSS (Cross-site Scripting).
  • Content-Security-Policy žiada prehliadače, aby prijali prísne opatrenia na zabránenie cross-site scripting (XSS), clickjacking a iným útokom injekciou kódu, ktoré vyplývajú z vykonávania škodlivého obsahu v kontexte dôveryhodnej webovej stránky.
  • Strict-Transport-Security tiež známy ako HSTS. Žiada prehliadače, aby pristupovali k ballejaune.com / openresa.com iba pomocou HTTPS (t.j. nikdy nepoužívali HTTP). Nasadili sme túto hlavičku s dlhou životnosťou.
  • Expect-CT žiada klienta/webový prehliadač, aby uplatňoval požiadavky na transparentnosť certifikátov (t.j. overoval, že certifikáty našej stránky sa objavujú vo verejných CT logoch), čo pomáha predchádzať používaniu nesprávnych certifikátov Netatoo.
  • Referrer-Policy nám umožňuje kontrolovať hodnotu hlavičky "referer" (sic) pre odkazy mimo našich stránok. V našom prípade špecifikujeme, že hlavička "referer" by nemala byť definovaná, keď navigácia vedie k zníženiu úrovne z HTTPS na HTTP.

Výsledky nezávislých bezpečnostných auditov

Netatoo dostáva hodnotenie "A" od nezávislej služby securityheaders.io, ktorá umožňuje overiť rôzne implementované prvky. Môžete spustiť test na požiadanie pre ballejaune.com a openresa.com a zobraziť správu sami. Tiež vás povzbudzujeme, aby ste porovnali test s inými webovými stránkami, ktoré používate alebo plánujete používať.

Hostingové servery aplikácií Netatoo tiež dostávajú hodnotenie "A+" od nezávislého testu servera Qualys SSL Labs, ktorý je priemyselným štandardom. Môžete spustiť test na požiadanie a zobraziť správu sami. Správa uvádza, že nie sme zraniteľní voči niektorým z najnovších zraniteľností ako BEAST, POODLE a Heartbleed. Opäť vás povzbudzujeme, aby ste porovnali test s inými webovými stránkami, ktoré používate alebo plánujete používať.

Prevencia útokov a bezpečnosť cookies

Aby sme pomohli predchádzať útokom slovníka, náš mechanizmus prihlásenia navyše používa funkciu uzamknutia účtu, ak je nesprávne zadané heslo na prihlásenie viackrát.

Cookies odoslané serverom klientovi na účely autentifikácie a overovania požiadaviek sú vždy označené atribútmi "HttpOnly" a "Secure", a ich hodnoty domény a cesty sú nastavené vhodne na použitie s ballejaune.com / openresa.com.

Bezpečnosť online platieb

Pokiaľ ide o online platby, Netatoo je v súlade s normou PCI. V praxi sú všetky platby spracovávané priamo s platobnou bránou, ktorú ste si vybrali (PayPal, Paybox Verifone). Ako také, žiadne citlivé platobné údaje neprichádzajú do kontaktu so systémami patriacimi Netatoo (namiesto toho sú transparentne presmerované na vašu bránu a následne spracované prostredníctvom prístupu založeného na tokenoch).

Bezpečnosť transakčných e-mailov

Transakčné e-maily odosielané našimi službami používajú najnovšie bezpečnostné funkcie na overenie e-mailov. To zahŕňa platné politiky SPF, DKIM a DMARC. V prípade DMARC naša zverejnená politika žiada servery príjemcov, aby dali do karantény všetky správy, ktoré neprejdú testom DMARC. Tieto funkcie sú pokročilé nástroje, ktoré pomáhajú predchádzať spamu, spoofingu a phishingovým útokom. Samozrejme, tiež zahrňujeme odkazy na odhlásenie vo všetkých e-mailoch, ktoré posielame, a máme zavedený systém obmedzovania rýchlosti, aby sme pomohli predchádzať útokom bombardovaním e-mailov.

Interné bezpečnostné praktiky v Netatoo

Na organizačnej úrovni majú zamestnanci Netatoo obmedzený prístup k údajom na základe bezpečnostných princípov "potreba vedieť" a "najmenšie privilégium". Vývojové a testovacie systémy sú nasadené na internú sieť, ktorá nie je prístupná zvonku. Zdrojový kód aplikácie je spravovaný v súkromnom úložisku a neobsahuje žiadne citlivé informácie (ako API kľúče, heslá alebo reťazce pripojenia).

Monitorovanie dostupnosti služieb

V prípade incidentov (napr. výpadky aplikácií, zhoršený výkon alebo iné) môžete sledovať stav našich služieb prostredníctvom Pingdom na adrese: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Aktualizácie a neustále osvedčené postupy

Nakoniec venujeme osobitnú pozornosť pravidelným aktualizáciám našich serverov a interných systémov, aby sme priniesli najnovšie bezpečnostné opravy. Meníme naše heslá každých 60 dní a používame dvojfaktorovú autentifikáciu na takmer všetkých aplikáciách a službách tretích strán, ktoré používame v rámci našej práce.

Záver

Dúfame, že tieto informácie vám pomohli pochopiť hlavné bezpečnostné mechanizmy zavedené spoločnosťou Netatoo na zabezpečenie vašich údajov. Neustále prehodnocujeme naše bezpečnostné postupy, takže tieto informácie sa môžu v budúcnosti zmeniť, keď budeme reagovať na vývoj bezpečnostného prostredia.

Kontaktujte nás

Poštová adresa:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

E-mail:
support@openresa.com

Aktualizované štvrtok, 12. júna 2025
Podmienky & zásady ochrany osobných údajov
Slovensko (SK)