نظرة عامة على الأمن

المُقدّمة

Vtiger المعلومات ونظم المعلومات أصول قيمة ويجب حمايتها. يتم تحقيق ذلك من خلال تنفيذ أطر عمل أمنية مناسبة لإدارة المخاطر على Vtiger وضمان استمرارية العمل من خلال منع الحوادث الأمنية وتقليل تأثيرها المحتمل.

الأمن التنظيمي

يتم تحديد السياسات والإجراءات وتنفيذها عبر المجالات والعمليات التجارية. يتم استخدام السياسات لاختبار الضوابط وحماية سرية وتوافر ونزاهة معلومات Vtiger وموارد المعلومات.

فحص الموظف

يتم فحص كل موظف قبل انضمامه رسميًا إلى الشركة. توظف Vtiger مورّدًا خارجيًا خارجيًا للتحقق من الخلفية التي تشمل فحص السجلات الجنائية ، وسجلات العمل السابقة إن وجدت ، والخلفية التعليمية.

التدريب والتوعية

يتم إنشاء محتوى الوعي الأمني ​​وتعميمه داخل فرق مختلفة للتأكد من أن موظفي Vtiger على دراية بسياسات أمن المعلومات والتهديدات الناشئة وناقلات الهجوم الشائعة. بالإضافة إلى جلسات التوعية الأمنية التي يتم إجراؤها لرفع مستوى الوعي حول التهديدات والممارسات الأمنية وسياسات الشركة.

الأمن المادي

أمن شركة Vtiger مسؤول عن حماية أصول Vtiger في المواقع الفعلية. تراقب Vtiger المباني بكاميرات CCTV ، تتوفر لقطات احتياطية حتى فترة معينة ، اعتمادًا على متطلبات هذا الموقع. يتم منح الوصول إلى المباني عند استخدام الهوية البيومترية و Keycards.

في حالة الموارد السحابية (مثل AWS و DigitalOcean و OVH) يكون مزودو خدمة الإنترنت السحابيون مسؤولين عن تأمين الأصول والحفاظ على ضوابط الأمان المناسبة. مزيد من التفاصيل حول كيفية العثور على عناصر التحكم في أمان ISP هنا.

الأمن التشغيلي

تركز هذه الممارسات على مراقبة أنظمة الاتصال في الوقت الحقيقي بحثًا عن التهديدات والإجراءات النشطة للحفاظ على أنظمة المعلومات محمية.

التسجيل والمراقبة

تتم مراقبة البنية التحتية والتطبيقات على مدار 24 ساعة طوال أيام الأسبوع باستخدام أدوات الملكية وأدوات المؤسسات. نحن نراقب حركة المرور الداخلية في شبكتنا ، واستخدام الأجهزة والمحطات الطرفية. نقوم بتسجيل سجلات الأحداث ، وسجلات التدقيق ، وسجلات الأخطاء ، وسجلات المسؤول ، وسجلات عامل التشغيل ، ويتم تحليل هذه السجلات بحثًا عن الحالات الشاذة والحوادث. يتم تخزين هذه السجلات بشكل آمن في سعة معزولة.

تقييم الثغرات الأمنية

توظف Vtiger أيضًا فريق أمان لاكتشاف الثغرات الأمنية ومعالجتها داخل برنامجنا ، وكذلك تحفيز أعضائنا في مجتمع أمن البرمجيات الأوسع لتحديد مواطن الضعف والإبلاغ عنها.

دعم

يأخذ Vtiger نسخًا احتياطيًا لقاعدة البيانات والملفات لكل مثيل للعملاء كل يوم. يتم تخزين هذه النسخة الاحتياطية على خادم منفصل للحماية من خطر فشل الأجهزة. في حالة حدوث مثل هذا الفشل ، يمكن استعادة الوصول إلى البيانات والخدمات في غضون 8 ساعات.

بقع الأمان

تقوم Vtiger بالصيانة الوقائية للحماية من أي ثغرات محتملة عن طريق نشر التصحيحات عندما يتم تطويرها داخليًا أو تصبح متاحة بشكل آخر.

حماية البيانات

البيانات هي مفتاح العمل وللحفاظ على سرية البيانات وتوافرها وسلامتها طوال الوقت ، نتبع إرشادات صارمة تدور حول بنيتنا وتطويرنا وعملياتنا.

الممارسات الهندسية

تتبع الفرق الهندسية إرشادات الترميز الآمنة ، بالإضافة إلى المراجعة / الفحص اليدوي للكود قبل نشره في الإنتاج.

تستند إرشادات التشفير الآمنة إلى معايير OWASP ويتم تنفيذها وفقًا لذلك للحماية من التهديدات الشائعة وناقلات الهجوم (مثل إدخال SQL ، البرمجة النصية عبر المواقع) داخل طبقة التطبيق.

عزل البيانات

تتبع Vtiger بنية المستأجر الفردي ، وبالتالي فإن كل حالة لها مساحة منفصلة مخصصة لها. هذه الحالات ليست على دراية بكل مثيل آخر ومن ثم تعمل بشكل منفصل.

التشفير

في العبور

جميع البيانات المنقولة بين متصفحك وخوادم Vtiger مؤمنة بمعيار الصناعة TLS 1.2 / 1.3. يشمل ذلك تطبيقات الويب ، وواجهة برمجة التطبيقات ، وتطبيقات الجوال ، ووصول عميل البريد الإلكتروني IMAP / POP / SMTP

لقد قمنا بتمكين تكوينات آمنة مثل السرية التامة للأمام (PFS) ورأس HTTP Strict Transport Security (HSTS) لجميع حركاتنا على الويب ، وهذا يفرض المتصفح للاتصال فقط عبر قناة الاتصال المشفرة.

 في راحه

يتم تشفير أقراص التخزين لجميع الخوادم باستخدام تشفير مستوى القرص.

يتم تشفير بيانات العملاء باستخدام الحقول الحساسة باستخدام معيار التشفير المتقدم 256 بت (AES) ، ونحن نستخدم خدمة إدارة مفاتيح AWS (KMS) لإدارة المفاتيح.

يتم تشفير النسخ الاحتياطية باستخدام AES-256 في AWS S3.

الاحتفاظ بالبيانات وحذفها

نحتفظ ببيانات العملاء طالما أنهم مشتركون نشطون في الخدمة ، في حالة إلغاء أو عدم النشاط القواعد التالية تضمن التخلص من البيانات.

بالنسبة للحسابات التجريبية التي لا تبدأ اشتراكًا مدفوعًا ، يتم حذف البيانات بعد 12 يومًا من انتهاء الفترة التجريبية.

بالنسبة للحسابات المدفوعة التي تم إلغاؤها ، يتم حذف البيانات بعد 90 يومًا من تاريخ إلغاء الحساب.

بالنسبة للحسابات المدفوعة التي لديها فشل في الدفع ، سيتم تعليق الحساب في غضون أيام 15 ، ويتم إغلاقه بعد أيام 90. سيتم حذف جميع البيانات بعد أسبوع من إغلاق الحساب.

بالنسبة للحسابات المجانية ، يتم حذف البيانات بعد 60 يومًا من عدم نشاط الحساب.

يتم الاحتفاظ ببيانات الفواتير المستخدمة لإنشاء الفاتورة لمدة 7 سنوات لأغراض تجارية.

موقع البيانات

توجد خوادم Vtiger في الولايات المتحدة والمملكة المتحدة والاتحاد الأوروبي (أيرلندا وفرانكفورت) وأستراليا وسنغافورة واليابان والهند. يعتمد الخادم الذي يتم تخزين بياناتك عليه على المنطقة التي توجد بها في الوقت الذي تبدأ فيه الإصدار التجريبي المجاني من Vtiger.

إدارة الحوادث

العملية التي تصف أنشطة المنظمة لتحديد وتحليل وتصحيح المخاطر لمنع تكرار حدوثها في المستقبل. إذا لم تتم إدارة الحادث ، يمكن أن يتصاعد إلى حالة طوارئ أو أزمة أو كارثة.

التقارير

يأخذ Vtiger نسخًا احتياطيًا لقاعدة البيانات والملفات لكل مثيل للعملاء كل يوم. يتم تخزين هذه النسخة الاحتياطية على خادم منفصل للحماية من خطر فشل الأجهزة. في حالة حدوث مثل هذا الفشل ، يمكن استعادة الوصول إلى البيانات والخدمات في غضون 8 ساعات.

الفرق المتخصصة مسؤولة عن النظر في الحوادث المختلفة التي تحدث في البيئة التي تنطبق عليك ، ونتبع الإجراءات الإلزامية للتعامل معها والإبلاغ عنها. نتتبع السبب الجذري للمشكلة ونتخذ إجراءات احترازية لتجنب ذلك في المستقبل. يتم وضع المزيد من التدابير والضوابط للتخفيف من المواقف المماثلة.

إعلام الانتهاك

إذا تم اكتشاف خرق على مستوى الخدمة ، فسوف ينبه Vtiger عملائه والسلطات المعنية في غضون 72 ساعة من الاكتشاف.