Tillbaka

Är våra data säkra?

Vi använder branschstandardprotokoll och bästa praxis för att skydda dina data och din integritet.
I dagens komplexa och reglerade miljö litar våra användare på oss för att skydda deras data med hjälp av verktyg och praxis som överensstämmer med branschstandarder. Den här sidan ger en översikt över de ansträngningar som Netatoo gör för att uppfylla dessa krav.

I dagens komplexa och reglerade miljö litar våra användare på oss för att skydda deras data med hjälp av verktyg och praxis som överensstämmer med branschstandarder. Den här sidan ger en översikt över de ansträngningar som Netatoo gör för att uppfylla dessa krav.

Databassäkerhet och åtkomst

För att börja med, säkrar vi vårt persistenslager genom att begränsa åtkomsten till vår primära applikationsdatabas till applikationslagret och en fast uppsättning kända IP-adresser som tillhör Netatoo. Denna åtkomstbegränsning uppnås genom en kombination av brandväggsregler, autentiseringsmekanismer (som kräver att användare bevisar sin identitet) och auktorisering genom rollbaserade behörigheter.

Säkerhetskopiering och återställning av data

Vi hanterar möjligheten till en katastrofal förlust av applikationsdata (till exempel till följd av en naturkatastrof) genom att automatiskt skapa säkerhetskopior av databasen med en geo-redundant strategi.

  • Vi skapar fullständiga och differentiella säkerhetskopior, var och en krypterad med AES-256-algoritmen.
  • Fullständiga säkerhetskopior av databaser sker varannan timme, medan differentiella säkerhetskopior vanligtvis sker varje timme, och säkerhetskopior av transaktionsloggar sker vanligtvis var 10 till 15 minuter.
  • Vid dataförlust kan vi återställa data till en specifik tidpunkt för att minimera informationsförlust. Integriteten hos säkerhetskopiorna verifieras semi-automatiskt och regelbundet för att säkerställa att de lagrade uppgifterna är korrekta.
  • Säkerhetskopiorna behålls i 90 dagar och förstörs sedan.

Säkerhetsgranskning och hotdetektering

För att hjälpa oss att upprätthålla regelöverensstämmelse, förstå databasaktivitet och bättre förstå avvikelser och anomalier som kan indikera misstänkta säkerhetsöverträdelser (en annan aspekt av GDPR i EU), har vi implementerat en avancerad granskning som möjliggör hotdetektering på våra servrar. Dessa tjänster upptäcker potentiella hot när de inträffar (t.ex. onormala databasanslutningar, SQL-injektionssårbarheter) och varnar omedelbart vårt team så att de kan vidta nödvändiga åtgärder. I det specifika fallet med GDPR utgör denna tjänst en nyckelkomponent i den tekniska maskinen som gör det möjligt för oss att upptäcka dataintrång och meddela tillsynsmyndigheterna i det osannolika fallet att en sådan situation skulle uppstå.

Anslutningssäkerhet och HTTPS-protokoll

På applikationslagret tvingar vi alla inkommande förfrågningar att använda säkra HTTPS-anslutningar (HTTP över TLS). Beroende på klientenhet kan anslutningen använda TLS 1.0, TLS 1.1.1 eller TLS 1.2. Vi förbjuder anslutningar som använder de föråldrade och sårbara protokollen SSL 2 och SSL 3.

Avancerade HTTP-säkerhetsrubriker

De accepterade TLS-anslutningarna är krypterade med ett SSL-certifikat som använder den starkaste webbstandarden. Som en del av alla HTTPS-svar inkluderar våra servrar ett antal avancerade säkerhetsrubriker. Dessa inkluderar särskilt:

  • X-XSS-Protection instruerar moderna webbläsare att avbryta kommunikationen när de upptäcker reflekterade XSS-attacker (Cross-site Scripting).
  • Content-Security-Policy instruerar webbläsare att vidta strikta åtgärder för att förhindra cross-site scripting (XSS), clickjacking och andra kodinjektionsattacker som uppstår från körning av skadligt innehåll i kontexten av en betrodd webbsida.
  • Strict-Transport-Security, även känd som HSTS. Instruerar webbläsare att endast komma åt ballejaune.com / openresa.com via HTTPS (dvs. aldrig använda HTTP). Vi har implementerat denna rubrik med en lång livslängd.
  • Expect-CT instruerar en klient/webbläsare att tillämpa kraven för certifikattransparens (dvs. verifiera att certifikaten för vår webbplats visas i offentliga CT-loggar), vilket hjälper till att förhindra användningen av felaktiga Netatoo-certifikat.
  • Referrer-Policy tillåter oss att kontrollera värdet på "referer"-rubriken för länkar utanför våra sidor. I vårt fall specificerar vi att "referer"-rubriken inte ska anges när navigeringen resulterar i en nedgradering från HTTPS till HTTP.

Resultat från oberoende säkerhetsgranskningar

Netatoo får betyget "A" från den oberoende tjänsten securityheaders.io som verifierar de olika implementerade elementen. Du kan köra testet på begäran för ballejaune.com och openresa.com och se rapporten själv. Vi uppmuntrar dig också att jämföra testet med andra webbplatser som du använder eller planerar att använda.

Netatoos applikationsvärdservrar får också betyget "A+" från det oberoende servertestet Qualys SSL Labs, branschstandard. Du kan köra testet på begäran och se rapporten själv. Rapporten noterar att vi inte är sårbara för några av de senaste sårbarheterna som BEAST, POODLE och Heartbleed. Återigen uppmuntrar vi dig att jämföra testet med andra webbplatser som du använder eller planerar att använda.

Förebyggande av attacker och cookiessäkerhet

För att hjälpa till att förhindra ordboksattacker använder vår inloggningsmekanism dessutom kontolåsningsfunktionen om ett felaktigt inloggningslösenord anges flera gånger.

Cookies som skickas av servern till klienten för autentisering och begäran verifiering är alltid markerade med attributen "HttpOnly" och "Secure", och deras domän- och sökvägsvärden är korrekt inställda för användning med ballejaune.com / openresa.com.

Säkerhet för onlinebetalningar

När det gäller onlinebetalningar är Netatoo PCI-kompatibelt. I praktiken hanteras alla betalningar direkt med den betalningsgateway du har valt (PayPal, Paybox Verifone). Som sådan kommer inga känsliga betalningsuppgifter i kontakt med system som ägs av Netatoo (istället omdirigeras de transparent till din gateway och hanteras sedan genom en tokenbaserad metod).

Säkerhet för transaktionella e-postmeddelanden

De transaktionella e-postmeddelanden som skickas av våra tjänster använder de senaste säkerhetsfunktionerna för e-postvalidering. Dessa inkluderar giltiga SPF, DKIM och DMARC-policyer. I fallet med DMARC kräver vår publicerade policy att mottagarens servrar sätter i karantän alla meddelanden som inte klarar DMARC-testet. Dessa funktioner är avancerade verktyg som hjälper till att förhindra spam, spoofing och phishing-attacker. Naturligtvis inkluderar vi också avregistreringslänkar i alla e-postmeddelanden vi skickar, och vi har implementerat ett hastighetsbegränsningssystem för att hjälpa till att förhindra e-postbombningsattacker.

Interna säkerhetspraxis hos Netatoo

På organisationsnivå har Netatoos anställda begränsad åtkomst till data baserat på säkerhetsprinciperna "behov av att veta" och "minsta privilegium". Utvecklings- och testsystem distribueras på ett internt nätverk som inte är tillgängligt utifrån. Applikationens källkod hanteras i ett privat arkiv och innehåller ingen känslig information (som API-nycklar, lösenord eller anslutningssträngar).

Övervakning av tjänstetillgänglighet

Vid incidenter (t.ex. applikationsavbrott, försämrad prestanda eller andra) kan du följa statusen för våra tjänster via Pingdom på följande adress: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Uppdateringar och kontinuerlig bästa praxis

Slutligen lägger vi stor vikt vid att regelbundet uppdatera våra servrar och interna system för att tillhandahålla de senaste säkerhetskorrigeringarna. Vi byter våra lösenord var 60:e dag och vi använder tvåfaktorsautentisering på nästan alla applikationer och tredjepartstjänster som vi använder i vårt arbete.

Slutsats

Vi hoppas att denna information har hjälpt dig att förstå de viktigaste säkerhetsmekanismerna som Netatoo har implementerat för att säkra dina data. Vi granskar kontinuerligt våra säkerhetsprocedurer, så denna information kan komma att ändras i framtiden när vi reagerar på förändringar i säkerhetslandskapet.

Kontakta oss

Postadress:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

E-post:
support@openresa.com

Uppdaterad den torsdag 12 juni 2025
Villkor & sekretesspolicy
Åland (SV)