Povratak

Da li su naši podaci sigurni?

Koristimo standardne industrijske protokole i najbolje prakse za zaštitu vaših podataka i privatnosti.
U današnjem složenom i regulisanom okruženju, naši korisnici nam poveravaju zaštitu svojih podataka koristeći alate i prakse koje su u skladu sa industrijskim standardima. Ova stranica pruža pregled napora koje Netatoo ulaže kako bi ispunio te zahteve.

U današnjem složenom i regulisanom okruženju, naši korisnici nam poveravaju zaštitu svojih podataka koristeći alate i prakse koje su u skladu sa industrijskim standardima. Ova stranica pruža pregled napora koje Netatoo ulaže kako bi ispunio te zahteve.

Bezbednost baze podataka i pristupa

Za početak, obezbeđujemo naš sloj za čuvanje podataka ograničavanjem pristupa našoj primarnoj bazi podataka aplikacije na aplikacioni sloj i fiksni skup poznatih IP adresa koje pripadaju Netatoo-u. Ovo ograničenje pristupa se ostvaruje kombinacijom pravila vatrozida, mehanizama autentifikacije (zahtevajući od korisnika da dokažu svoj identitet) i autorizacije putem dozvola zasnovanih na ulogama.

Bekap i obnova podataka

Bavimo se mogućnošću katastrofalnog gubitka podataka aplikacije (na primer, usled prirodne katastrofe) automatskim kreiranjem bekapa baze podataka sa geo-redundantnim pristupom.

  • Kreiramo kompletne i diferencijalne bekape, od kojih je svaki šifrovan AES-256 algoritmom.
  • Kompletni bekapi baza podataka se prave na svakih nekoliko sati, dok se diferencijalni bekapi obično prave svakog sata, a bekapi transakcijskih dnevnika obično se prave svakih 10 do 15 minuta.
  • U slučaju gubitka podataka, možemo obnoviti podatke u određenom trenutku kako bismo minimizirali gubitak informacija. Integritet bekapa se proverava poluautomatski i redovno kako bi se osiguralo da su pohranjeni podaci u skladu.
  • Bekapi se čuvaju 90 dana, a zatim se uništavaju.

Bezbednosni audit i detekcija pretnji

Da bismo održali regulatornu usklađenost, razumeli aktivnosti baze podataka i bolje razumeli odstupanja i anomalije koje bi mogle ukazivati na sumnje u kršenje bezbednosti (još jedan aspekt GDPR EU), implementirali smo napredni audit koji omogućava detekciju pretnji na našim serverima. Ove usluge detektuju potencijalne pretnje kako se događaju (npr. abnormalne konekcije na baze podataka, SQL injection ranjivosti) i odmah obaveštavaju naš tim kako bi mogao preduzeti potrebne mere. U posebnom slučaju GDPR, ova usluga je ključni element tehničkog sistema koji nam omogućava da detektujemo kršenja podataka i obavestimo nadzorne organe u malo verovatnom slučaju da se takva situacija dogodi.

Bezbednost konekcija i HTTPS protokol

Na nivou aplikacionog sloja, forsiramo sve dolazne zahteve da koriste sigurne HTTPS konekcije (HTTP preko TLS-a). U zavisnosti od klijentskog uređaja, konekcija može koristiti TLS 1.0, TLS 1.1.1 ili TLS 1.2. Zabranjujemo konekcije koje koriste zastarele i ranjive SSL 2 i SSL 3 protokole.

Napredni HTTP bezbednosni zaglavlja

Prihvaćene TLS konekcije su šifrovane pomoću SSL sertifikata koristeći najjači web standard. Kao deo svih HTTPS odgovora, naši serveri uključuju niz naprednih bezbednosnih zaglavlja. To uključuje:

  • X-XSS-Protection nalaže modernim pretraživačima da prekinu komunikaciju kada detektuju reflektovane XSS (Cross-site Scripting) napade.
  • Content-Security-Policy zahteva od pretraživača da preduzmu stroge mere kako bi sprečili cross-site scripting (XSS), clickjacking i druge napade injekcijom koda koji proizlaze iz izvršavanja zlonamernog sadržaja u kontekstu pouzdane web stranice.
  • Strict-Transport-Security, poznat i kao HSTS. Zahteva od pretraživača da pristupaju ballejaune.com / openresa.com samo koristeći HTTPS (tj. nikada ne koristeći HTTP). Implementirali smo ovo zaglavlje sa dugim vekom trajanja.
  • Expect-CT zahteva od klijenta/web pretraživača da primeni zahteve za transparentnost sertifikata (tj. proveri da li se sertifikati našeg sajta pojavljuju u javnim CT dnevnicima), što pomaže u sprečavanju korišćenja netačnih Netatoo sertifikata.
  • Referrer-Policy nam omogućava da kontrolišemo vrednost "referer" zaglavlja za linkove van naših stranica. U našem slučaju, specificiramo da "referer" zaglavlje ne treba biti postavljeno kada navigacija rezultira prelaskom sa HTTPS na HTTP.

Rezultati nezavisnih bezbednosnih audita

Netatoo dobija ocenu "A" od strane nezavisne usluge securityheaders.io koja omogućava proveru različitih implementiranih elemenata. Možete izvršiti test na zahtev za ballejaune.com i openresa.com i sami pregledati izveštaj. Takođe vas ohrabrujemo da uporedite test sa drugim web sajtovima koje koristite ili planirate da koristite.

Netatoo serverski hosting aplikacija takođe dobija ocenu "A+" od nezavisnog server testa Qualys SSL Labs, industrijskog standarda. Možete izvršiti test na zahtev i sami pregledati izveštaj. Izveštaj napominje da nismo ranjivi na neke od najnovijih ranjivosti kao što su BEAST, POODLE i Heartbleed. Ponovo vas ohrabrujemo da uporedite test sa drugim web sajtovima koje koristite ili planirate da koristite.

Prevencija napada i bezbednost kolačića

Da bismo pomogli u sprečavanju napada rečnikom, naš mehanizam za prijavu dodatno koristi funkcionalnost zaključavanja naloga ako se pogrešna lozinka unese više puta.

Kolačići koje server šalje klijentu u svrhu autentifikacije i verifikacije zahteva uvek su označeni atributima "HttpOnly" i "Secure", a njihove vrednosti domena i putanje su odgovarajuće postavljene za upotrebu sa ballejaune.com / openresa.com.

Bezbednost online plaćanja

Što se tiče online plaćanja, Netatoo je usklađen sa PCI standardom. U praksi, sva plaćanja se obrađuju direktno sa izabranim platnim prolazom (PayPal, Paybox Verifone). Kao takvi, nikakvi osetljivi podaci o plaćanju ne dolaze u kontakt sa sistemima u vlasništvu Netatoo-a (umesto toga, oni se transparentno preusmeravaju na vaš prolaz i zatim se obrađuju putem pristupa zasnovanog na tokenima).

Bezbednost transakcionih e-mailova

Transakcioni e-mailovi koje šalju naše usluge koriste najnovije bezbednosne funkcije za validaciju e-mailova. To uključuje važeće politike SPF, DKIM i DMARC. U slučaju DMARC-a, naša objavljena politika zahteva od servera primalaca da stave u karantin sve poruke koje ne prođu DMARC test. Ove funkcije su napredni alati koji pomažu u sprečavanju spama, spoofinga i phishing napada. Naravno, uključujemo i linkove za odjavu u svim e-mailovima koje šaljemo, i implementirali smo sistem ograničenja brzine kako bismo pomogli u sprečavanju napada bombardovanjem e-mailova.

Interna bezbednosna praksa u Netatoo-u

Na organizacionom nivou, zaposleni u Netatoo-u imaju ograničen pristup podacima na principima bezbednosti "potrebe za znanjem" i "najmanjih privilegija". Sistemi za razvoj i testiranje su implementirani na internu mrežu koja nije dostupna spolja. Izvorni kod aplikacije se upravlja u privatnom repozitorijumu i ne sadrži nikakve osetljive informacije (kao što su API ključevi, lozinke ili konekcioni stringovi).

Praćenje dostupnosti usluga

U slučaju incidenata (npr. prekida rada aplikacija, degradiranih performansi ili drugih), možete pratiti stanje naših usluga putem Pingdom-a na sledećoj adresi: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Ažuriranja i kontinuirane dobre prakse

Na kraju, posvećujemo posebnu pažnju redovnom ažuriranju naših servera i internih sistema kako bismo doneli najnovije bezbednosne ispravke. Menjamo naše lozinke svakih 60 dana i koristimo dvostruku autentifikaciju na gotovo svim aplikacijama i uslugama trećih strana koje koristimo u okviru našeg poslovanja.

Zaključak

Nadamo se da su vam ove informacije pomogle da razumete glavne bezbednosne mehanizme koje Netatoo implementira kako bi osigurao vaše podatke. Kontinuirano preispitujemo naše bezbednosne procedure, tako da se ove informacije mogu promeniti u budućnosti kako budemo reagovali na promene u bezbednosnom okruženju.

Kontaktirajte nas

Poštanska adresa:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

E-mail:
support@openresa.com

Ажурирано četvrtak, 12. jun 2025.
Uslovi & politika privatnosti
Србија (SR)