Въведение
Информационните и информационни системи на Vtiger са ценни активи и трябва да бъдат защитени. Това се постига чрез прилагане на подходящи рамки за сигурност за управление на рисковете за Vtiger и гарантиране на непрекъснатостта на бизнеса чрез предотвратяване на инциденти със сигурността и намаляване на потенциалното им въздействие.
Организационна сигурност
Политиките и процедурите се определят и прилагат в различни области и бизнес процеси. Политиките се използват за тестване на контролите и за защита на поверителността, наличността и целостта на информационните и информационни ресурси на Vtiger.
Проверка на служители
Всеки служител се проверява преди да се присъедини официално към компанията. Vtiger наема външен доставчик на трети страни, за да извърши проверка на основата на информация, която включва проверка на криминални досиета, предишни документи за трудова заетост, ако има такива, и образование.
Обучение и информираност
Съдържанието за повишаване на сигурността се създава и разпространява в различни екипи, за да се гарантира, че служителите на Vtiger са запознати с политиките за сигурност на информацията, възникващите заплахи и обичайните вектори за атаки. В допълнение към това се провеждат сесии за повишаване на сигурността за повишаване на осведомеността относно заплахите, практиките за сигурност и политиките на компанията.
Физическа охрана
Корпоративната сигурност на Vtiger е отговорна за защитата на активите на Vtiger на физически места. Vtiger следи помещенията с камери за видеонаблюдение, резервни кадри са достъпни до определен период, в зависимост от изискванията за това местоположение. Достъпът до помещенията се предоставя при използване на биометрична идентификация и идентификация на картички.
В случай на облачни ресурси (като AWS, DigitalOcean, OVH) облачните Интернет доставчици са отговорни за осигуряването на активите и поддържането на правилен контрол за сигурност. Повече подробности за това как могат да бъдат намерени контролите за сигурност на ISP тук.
Оперативна сигурност
Тези практики се фокусират върху мониторинга на комуникационните системи в реално време за активни заплахи и процедури за защита на информационните системи.
Регистрация и мониторинг
Инфраструктурата и приложенията се наблюдават 24X7 с патентовани и корпоративни инструменти. Ние наблюдаваме вътрешния трафик в нашата мрежа и използването на устройства и терминали. Ние записваме дневници на събития, дневници за одит, дневници на грешки, регистрационни файлове на администратори и регистрационни файлове и тези регистрационни файлове се анализират за аномалии и инциденти. Тези дневници се съхраняват сигурно в изолиран капацитет.
Оценка на уязвимостта
Vtiger също така използва екип за сигурност, който открива и адресира уязвимостите в рамките на нашия софтуер, както и стимулира нашите членове от по-широката общност за софтуерна сигурност да идентифицират и докладват уязвимости.
Архивиране
Vtiger ежедневно прави резервни копия на база данни и файлове на всеки потребителски инстанция. Това архивиране се съхранява на отделен сървър, за да се предпази от риска от повреда на хардуера. В случай на такава повреда достъпът до данни и услуги може да бъде възстановен в рамките на 8 часа.
Пачове за сигурност
Vtiger извършва превантивна поддръжка, за да се предпази от всякакви потенциални уязвимости, като разгърна пачове както и когато те са разработени вътрешно или по друг начин станат достъпни.
Сигурност на данните
Данните са от ключово значение за бизнеса и за да поддържаме поверителност, достъпност и цялостност на данните през цялото време, ние следваме строги указания, които се въртят около нашата архитектура, развитие и операции.
Инженерни практики
Инженерните екипи следват указанията за сигурно кодиране, както и ръчния преглед / скрининг на кода, преди той да бъде внедрен в производството.
Насоките за сигурно кодиране се основават на стандартите на OWASP и се прилагат съответно, за да се защитят от общи заплахи и вектори за атака (като SQL инжекция, скриптове на кръстосани сайтове) в приложния слой.
Изолация на данните
Vtiger следва архитектура на единичен наемател, следователно всеки екземпляр има свое отделно пространство, разпределено за тях. Тези екземпляри не знаят за всеки друг екземпляр и следователно работят отделно.
Encryption
Транзитно
Всички данни, прехвърлени между вашия браузър и сървърите на Vtiger, са защитени с индустриален стандарт TLS 1.2 / 1.3. Това включва webapps, API, мобилни приложения и IMAP / POP / SMTP достъп до имейл клиента.
Ние сме активирали сигурни конфигурации като перфектна тайна за напред (PFS) и HTTP стриктна заглавна сигурност на транспорта (HSTS) към целия ни уеб трафик, това налага на браузъра да се свързва само чрез криптиран комуникационен канал.
В покой
Дисковете за съхранение на всички сървъри са криптирани с помощта на Disk Encryption.
Данните на клиента, използващи чувствителни полета, се криптират с помощта на 256-битов разширен стандарт за криптиране (AES), ние използваме AWS Key Management Service (KMS) за управление на ключове.
Резервните копия се криптират с помощта на AES-256 на AWS S3.
Съхраняване и изтриване на данни
Запазваме данните на клиентите, стига да са активни абонати на услугата, в случай на анулиране или бездействие, спазвайки правилата, гарантира изхвърляне на данни.
За пробни акаунти, които не стартират платен абонамент, данните се изтриват 12 дни след приключване на пробния период.
За платени акаунти, които са анулирани, данните се изтриват 90 дни след датата на закриване на акаунта.
За платени профили, които имат неуспешно плащане, профилът ще бъде спрян в рамките на 15 дни и ще бъде затворен след 90 дни. Всички данни ще бъдат изтрити 1 седмица след закриването на профила.
За безплатни акаунти данните се изтриват след 60 дни бездействие на акаунта.
Данните за фактуриране, използвани за генериране на фактури, се съхраняват в продължение на 7 години за бизнес цели.
Местоположение на данни
Сървърите на Vtiger се намират в Съединените щати, Обединеното кралство, Европейския съюз (Ирландия, Франкфурт), Австралия, Сингапур, Япония и Индия. Сървърът, на който се съхраняват вашите данни, зависи от региона, в който се намирате към момента, в който стартирате безплатната си пробна версия на Vtiger.
Управление на инциденти
Процес, който описва дейностите на организацията за идентифициране, анализ и коригиране на опасностите, за да се предотврати бъдещо повторно възникване. Ако не бъде управляван, инцидентът може да прерасне в извънредна ситуация, криза или бедствие.
Докладване
Vtiger ежедневно прави резервни копия на база данни и файлове на всеки потребителски инстанция. Това архивиране се съхранява на отделен сървър, за да се предпази от риска от повреда на хардуера. В случай на такава повреда достъпът до данни и услуги може да бъде възстановен в рамките на 8 часа.
Специализираните екипи са отговорни да разглеждат различни инциденти, случващи се в средата, която се отнася за вас, следваме задължителните действия по обработката и докладването им. Проследяваме първопричината за проблема и предприемаме предпазни мерки, за да избегнем това в бъдеще. Въвеждат се допълнителни мерки и контрол за смекчаване на подобни ситуации.
Известие за нарушение
Ако бъде открито нарушение на ниво услуга, Vtiger ще уведоми своите клиенти и съответните власти в рамките на 72 часа след откриването.