Back

Чи захищені наші дані?

Ми використовуємо стандартні протоколи індустрії та найкращі практики для захисту ваших даних та вашої конфіденційності.
У складному та регульованому середовищі сьогодення наші користувачі довіряють нам захист своїх даних за допомогою інструментів та практик, що відповідають стандартам індустрії. Ця сторінка надає огляд зусиль, які Netatoo докладає для виконання цих вимог.

У складному та регульованому середовищі сьогодення наші користувачі довіряють нам захист своїх даних за допомогою інструментів та практик, що відповідають стандартам індустрії. Ця сторінка надає огляд зусиль, які Netatoo докладає для виконання цих вимог.

Безпека бази даних та доступів

Для початку, ми захищаємо наш шар збереження даних, обмежуючи доступ до нашої основної бази даних додатка лише шаром додатка та фіксованим набором відомих IP-адрес, що належать Netatoo. Це обмеження доступу реалізується за допомогою комбінації правил брандмауера, механізмів автентифікації (вимагаючи від користувачів підтвердження їхньої особи) та авторизації через дозволи, засновані на ролях.

Резервне копіювання та відновлення даних

Ми розглядаємо можливість катастрофічної втрати даних додатка (наприклад, внаслідок природної катастрофи) шляхом автоматичного створення резервних копій бази даних з гео-резервним підходом.

  • Ми створюємо повні та диференційні резервні копії, кожна з яких зашифрована за допомогою алгоритму AES-256.
  • Повні резервні копії баз даних створюються кожні кілька годин, тоді як диференційні резервні копії зазвичай створюються щогодини, а резервні копії журналів транзакцій зазвичай створюються кожні 10-15 хвилин.
  • У разі втрати даних ми можемо відновити дані на певний момент часу, щоб мінімізувати втрату інформації. Цілісність резервних копій перевіряється напівавтоматично та регулярно, щоб переконатися, що збережені дані відповідають вимогам.
  • Резервні копії зберігаються протягом 90 днів, після чого знищуються.

Аудит безпеки та виявлення загроз

Щоб допомогти нам підтримувати регуляторну відповідність, розуміти активність бази даних та краще розуміти розбіжності та аномалії, які можуть вказувати на підозрювані порушення безпеки (інший аспект GDPR ЄС), ми розгорнули розширений аудит, що дозволяє виявляти загрози на наших серверах. Ці служби виявляють потенційні загрози в міру їх виникнення (наприклад, аномальні підключення до баз даних, вразливості SQL-ін'єкцій) та негайно сповіщають нашу команду, щоб вона могла вжити необхідних заходів. У випадку з GDPR, ця служба є ключовим елементом технічної машини, яка дозволяє нам виявляти порушення даних та повідомляти контрольні органи у малоймовірному випадку, якщо така ситуація виникне.

Безпека з'єднань та протокол HTTPS

На рівні шару додатка ми змушуємо всі вхідні запити використовувати захищені з'єднання HTTPS (HTTP на TLS). Залежно від клієнтського пристрою, з'єднання може використовувати TLS 1.0, TLS 1.1.1 або TLS 1.2. Ми забороняємо з'єднання, що використовують застарілі та вразливі протоколи SSL 2 та SSL 3.

Розширені заголовки безпеки HTTP

Прийняті з'єднання TLS зашифровані за допомогою сертифіката SSL, що використовує найсильніший веб-стандарт. У рамках всіх відповідей HTTPS наші сервери включають ряд розширених заголовків безпеки. До них належать зокрема:

  • X-XSS-Protection наказує сучасним браузерам переривати комунікації, коли вони виявляють відображені атаки XSS (Cross-site Scripting).
  • Content-Security-Policy вимагає від браузерів вживати суворих заходів для запобігання cross-site scripting (XSS), клікджекінгу (clickjacking) та інших атак шляхом ін'єкції коду, що виникають внаслідок виконання шкідливого контенту в контексті довіреної веб-сторінки.
  • Strict-Transport-Security, також відомий як HSTS. Вимагає від браузерів отримувати доступ до ballejaune.com / openresa.com лише за допомогою HTTPS (тобто ніколи не використовувати HTTP). Ми розгорнули цей заголовок з довгим терміном дії.
  • Expect-CT вимагає від клієнта/веб-браузера дотримуватися вимог щодо прозорості сертифікатів (тобто перевіряти, що сертифікати нашого сайту з'являються в публічних журналах CT), що допомагає запобігти використанню неправильних сертифікатів Netatoo.
  • Referrer-Policy дозволяє нам контролювати значення заголовка "referer" (sic) для посилань за межами наших сторінок. У нашому випадку ми вказуємо, що заголовок "referer" не повинен бути встановлений, коли навігація призводить до зниження з HTTPS на HTTP.

Результати незалежних аудитів безпеки

Netatoo отримує оцінку "A" від незалежної служби securityheaders.io, що дозволяє перевірити різні елементи, які були впроваджені. Ви можете виконати тест на вимогу для ballejaune.com та openresa.com і переглянути звіт самостійно. Ми також рекомендуємо вам порівняти тест з іншими веб-сайтами, які ви використовуєте або плануєте використовувати.

Сервери хостингу додатків Netatoo також отримують оцінку "A+" від незалежного тесту сервера Qualys SSL Labs, стандарту індустрії. Ви можете виконати тест на вимогу і переглянути звіт самостійно. Звіт зазначає, що ми не вразливі до деяких з останніх вразливостей, таких як BEAST, POODLE та Heartbleed. Знову ж таки, ми рекомендуємо вам порівняти тест з іншими веб-сайтами, які ви використовуєте або плануєте використовувати.

Запобігання атакам та безпека файлів cookie

Щоб допомогти запобігти атакам словника, наш механізм входу додатково використовує функцію блокування облікового запису, якщо неправильний пароль входу вводиться кілька разів.

Файли cookie, які сервер відправляє клієнту для автентифікації та перевірки запитів, завжди позначені атрибутами "HttpOnly" та "Secure", а їхні значення домену та шляху встановлені належним чином для використання з ballejaune.com / openresa.com.

Безпека онлайн-платежів

Щодо онлайн-платежів, Netatoo відповідає стандарту PCI. На практиці всі платежі обробляються безпосередньо з обраною вами платіжною шлюзою (PayPal, Paybox Verifone). Таким чином, жодні чутливі платіжні дані не контактують з системами, що належать Netatoo (замість цього вони прозоро перенаправляються на вашу шлюзу і потім обробляються за допомогою підходу, заснованого на токенах).

Безпека транзакційних електронних листів

Транзакційні електронні листи, які відправляються нашими службами, використовують останні функції безпеки для валідації електронних листів. Це включає в себе дійсні політики SPF, DKIM та DMARC. У випадку з DMARC, наша опублікована політика вимагає від серверів одержувачів поміщати в карантин всі повідомлення, які не проходять тест DMARC. Ці функції є розширеними інструментами, які допомагають запобігти спаму, підробці та фішинговим атакам. Природно, ми також включаємо посилання на відписку у всі електронні листи, які ми відправляємо, і ми впровадили систему обмеження швидкості, щоб допомогти запобігти атакам шляхом бомбардування електронними листами.

Внутрішні практики безпеки в Netatoo

На організаційному рівні, співробітники Netatoo мають обмежений доступ до даних на основі принципів безпеки "потреби знати" та "мінімального привілею". Системи розробки та тестування розгорнуті в внутрішній мережі, яка недоступна ззовні. Вихідний код додатка управляється в приватному репозиторії і не містить жодної чутливої інформації (такої як API-ключі, паролі або рядки підключення).

Моніторинг доступності послуг

У разі інцидентів (наприклад, збоїв додатків, зниження продуктивності або інших), ви можете відстежувати стан наших послуг через Pingdom за адресою: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Оновлення та постійні найкращі практики

Нарешті, ми приділяємо особливу увагу регулярному оновленню наших серверів та внутрішніх систем, щоб забезпечити останні виправлення безпеки. Ми змінюємо наші паролі кожні 60 днів і використовуємо двофакторну автентифікацію на майже всіх додатках та сторонніх службах, які ми використовуємо в рамках нашої роботи.

Висновок

Ми сподіваємося, що ця інформація допомогла вам зрозуміти основні механізми безпеки, які Netatoo впроваджує для захисту ваших даних. Ми постійно переглядаємо наші процедури безпеки, тому ця інформація може змінитися в майбутньому, коли ми реагуватимемо на зміни в ландшафті безпеки.

Зв'яжіться з нами

Поштова адреса:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

Електронна пошта:
support@openresa.com

Updated on четвер, 12 червня 2025 р.
Terms & Privacy Policy
Україна (UK)