Povratak

Ali so naši podatki varni?

Uporabljamo standardne industrijske protokole in najboljše prakse za zaščito vaših podatkov in zasebnosti.
V današnjem kompleksnem in reguliranem okolju nam naši uporabniki zaupajo zaščito svojih podatkov z uporabo orodij in praks, ki so skladne z industrijskimi standardi. Ta stran ponuja pregled prizadevanj Netatoo za izpolnjevanje teh zahtev.

V današnjem kompleksnem in reguliranem okolju nam naši uporabniki zaupajo zaščito svojih podatkov z uporabo orodij in praks, ki so skladne z industrijskimi standardi. Ta stran ponuja pregled prizadevanj Netatoo za izpolnjevanje teh zahtev.

Varnost baze podatkov in dostopov

Za začetek varujemo našo plast trajnosti z omejevanjem dostopa do naše primarne baze podatkov aplikacije na aplikacijsko plast in na fiksni nabor znanih IP naslovov, ki pripadajo Netatoo. Ta omejitev dostopa se izvaja s kombinacijo pravil požarnega zidu, mehanizmov avtentikacije (ki zahtevajo, da uporabniki dokažejo svojo identiteto) in avtorizacije prek dovoljenj, ki temeljijo na vlogah.

Varnostne kopije in obnova podatkov

Možnost katastrofalne izgube podatkov aplikacije (na primer zaradi naravne nesreče) obravnavamo z avtomatskim ustvarjanjem varnostnih kopij baze podatkov z geo-redundantnim pristopom.

  • Ustvarjamo popolne in diferencialne varnostne kopije, pri čemer je vsaka šifrirana z algoritmom AES-256.
  • Popolne varnostne kopije baz podatkov se izvajajo vsake nekaj ur, medtem ko se diferencialne varnostne kopije običajno izvajajo vsako uro, končno pa se varnostne kopije dnevnikov transakcij običajno izvajajo vsakih 10 do 15 minut.
  • V primeru izgube podatkov lahko obnovimo podatke na določen trenutek, da zmanjšamo izgubo informacij. Celovitost varnostnih kopij se preverja polavtomatsko in redno, da se zagotovi skladnost shranjenih podatkov.
  • Varnostne kopije se hranijo 90 dni, nato pa se uničijo.

Varnostni pregled in zaznavanje groženj

Da bi nam pomagali ohranjati skladnost z regulativnimi zahtevami, razumeti dejavnost baze podatkov in bolje razumeti odstopanja in anomalije, ki bi lahko kazale na domnevne kršitve varnosti (drugi vidik GDPR EU), smo uvedli napreden pregled, ki omogoča zaznavanje groženj na naših strežnikih. Te storitve zaznavajo potencialne grožnje, ko se pojavijo (npr. nenormalne povezave z bazami podatkov, ranljivosti SQL injekcij) in takoj opozorijo našo ekipo, da lahko sprejme potrebne ukrepe. V posebnem primeru GDPR ta storitev predstavlja ključen element tehničnega sistema, ki nam omogoča zaznavanje kršitev podatkov in obveščanje nadzornih organov v malo verjetnem primeru, da bi se takšna situacija pojavila.

Varnost povezav in protokol HTTPS

Na ravni aplikacijske plasti prisilimo vse dohodne zahteve, da uporabljajo varne povezave HTTPS (HTTP preko TLS). Glede na odjemalsko napravo lahko povezava uporablja TLS 1.0, TLS 1.1.1 ali TLS 1.2. Prepovedujemo povezave, ki uporabljajo zastarele in ranljive protokole SSL 2 in SSL 3.

Napredne varnostne glave HTTP

Sprejete povezave TLS so šifrirane z SSL certifikatom, ki uporablja najmočnejši spletni standard. V okviru vseh HTTPS odgovorov naši strežniki vključujejo številne napredne varnostne glave. Te vključujejo zlasti:

  • X-XSS-Protection naroča sodobnim brskalnikom, naj prekinejo komunikacijo, ko zaznajo reflektirane napade XSS (Cross-site Scripting).
  • Content-Security-Policy zahteva od brskalnikov, da sprejmejo stroge ukrepe za preprečevanje cross-site scripting (XSS), clickjacking in drugih napadov z vbrizgavanjem kode, ki izhajajo iz izvajanja zlonamerne vsebine v kontekstu zaupanja vredne spletne strani.
  • Strict-Transport-Security, znan tudi kot HSTS. Zahteva od brskalnikov, da dostopajo do ballejaune.com / openresa.com samo z uporabo HTTPS (tj. nikoli ne uporabljajo HTTP). To glavo smo uvedli z dolgo življenjsko dobo.
  • Expect-CT zahteva od odjemalca/spletnega brskalnika, da uveljavlja zahteve glede preglednosti certifikatov (tj. preveri, ali se certifikati našega spletnega mesta pojavljajo v javnih CT dnevnikih), kar pomaga preprečiti uporabo nepravilnih certifikatov Netatoo.
  • Referrer-Policy nam omogoča nadzor nad vrednostjo glave "referer" (sic) za povezave zunaj naših strani. V našem primeru določamo, da glava "referer" ne sme biti določena, ko navigacija vodi do znižanja s HTTPS na HTTP.

Rezultati neodvisnih varnostnih pregledov

Netatoo prejme oceno "A" od neodvisne storitve securityheaders.io, ki omogoča preverjanje različnih uvedenih elementov. Test lahko izvedete na zahtevo za ballejaune.com in openresa.com ter si sami ogledate poročilo. Prav tako vas spodbujamo, da primerjate test z drugimi spletnimi mesti, ki jih uporabljate ali nameravate uporabljati.

Gostiteljski strežniki aplikacij Netatoo prejmejo tudi oceno "A+" od neodvisnega strežniškega testa Qualys SSL Labs, industrijskega standarda. Test lahko izvedete na zahtevo in si sami ogledate poročilo. Poročilo ugotavlja, da nismo ranljivi za nekatere najnovejše ranljivosti, kot so BEAST, POODLE in Heartbleed. Še enkrat vas spodbujamo, da primerjate test z drugimi spletnimi mesti, ki jih uporabljate ali nameravate uporabljati.

Preprečevanje napadov in varnost piškotkov

Da bi pomagali preprečiti napade z besednjakom, naš mehanizem za prijavo dodatno uporablja funkcijo zaklepanja računa, če je geslo za prijavo večkrat napačno vneseno.

Piškotki, ki jih strežnik pošlje odjemalcu za namene avtentikacije in preverjanja zahtev, so vedno označeni z atributoma "HttpOnly" in "Secure", njihove vrednosti domene in poti pa so ustrezno nastavljene za uporabo z ballejaune.com / openresa.com.

Varnost spletnih plačil

Kar zadeva spletna plačila, je Netatoo skladen s standardom PCI. V praksi se vsa plačila obdelujejo neposredno z izbranim plačilnim prehodom (PayPal, Paybox Verifone). Kot takšni, nobeni občutljivi plačilni podatki ne pridejo v stik s sistemi, ki pripadajo Netatoo (namesto tega se transparentno preusmerijo na vaš prehod in nato obdelajo z uporabo pristopa, ki temelji na žetonih).

Varnost transakcijskih e-poštnih sporočil

Transakcijska e-poštna sporočila, ki jih pošiljajo naše storitve, uporabljajo najnovejše varnostne funkcije za validacijo e-pošte. To vključuje veljavne politike SPF, DKIM in DMARC. V primeru DMARC naša objavljena politika zahteva od strežnikov prejemnikov, da dajo v karanteno vsa sporočila, ki ne prestanejo DMARC testa. Te funkcije so napredna orodja, ki pomagajo preprečevati spam, spoofing in phishing napade. Seveda vključujemo tudi povezave za odjavo vsa e-poštna sporočila, ki jih pošiljamo, in uvedli smo sistem omejevanja hitrosti, da pomagamo preprečiti napade z bombardiranjem e-pošte.

Notranje varnostne prakse pri Netatoo

Na organizacijski ravni imajo zaposleni v Netatoo omejen dostop do podatkov na podlagi varnostnih načel "potreba po vednosti" in "najmanjši privilegij". Razvojni in testni sistemi so nameščeni v notranjem omrežju, ki ni dostopno od zunaj. Izvorna koda aplikacije je upravljana v zasebnem repozitoriju in ne vsebuje nobenih občutljivih informacij (kot so API ključi, gesla ali povezovalne nize).

Spremljanje razpoložljivosti storitev

V primeru incidentov (npr. izpadi aplikacij, poslabšane zmogljivosti ali drugo) lahko spremljate stanje naših storitev prek Pingdom na naslednjem naslovu: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Posodobitve in stalne dobre prakse

Nazadnje, posebno pozornost posvečamo rednemu posodabljanju naših strežnikov in notranjih sistemov, da zagotovimo najnovejše varnostne popravke. Gesla spreminjamo vsakih 60 dni in uporabljamo dvofaktorsko avtentikacijo na skoraj vseh aplikacijah in storitvah tretjih oseb, ki jih uporabljamo v okviru našega dela.

Zaključek

Upamo, da so vam te informacije pomagale razumeti glavne varnostne mehanizme, ki jih je uvedel Netatoo za zaščito vaših podatkov. Nenehno pregledujemo naše varnostne postopke, zato se lahko te informacije v prihodnosti spremenijo, ko se odzivamo na spreminjajočo se varnostno krajino.

Kontaktirajte nas

Poštni naslov:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

E-pošta:
support@openresa.com

Ažurirano četrtek, 12. junij 2025
Uslovi & politika privatnosti
Slovenija (SL)