Uvod
Vtiger informacijski i informacijski sustavi su dragocjena imovina i moraju ih se zaštititi. To se postiže primjenom odgovarajućih sigurnosnih okvira za upravljanje rizicima za Vtiger i osiguravanje kontinuiteta poslovanja sprečavanjem sigurnosnih incidenata i smanjenjem njihovog potencijalnog utjecaja.
Organizacijska sigurnost
Politike i postupci su definirani i implementirani u svim domenama i poslovnim procesima. Pravila se koriste za testiranje kontrola i za zaštitu povjerljivosti, dostupnosti i integriteta Vtiger informacija i informacijskih izvora.
Vetting Employee
Svaki je zaposlenik provjeren prije nego što se formalno pridruži tvrtki. Vtiger zapošljava vanjskog dobavljača kako bi obavio provjeru prošlosti koja uključuje provjeru kaznenih evidencija, prethodne evidencije zaposlenja ako postoje i obrazovnu podlogu.
Trening i svijest
Sadržaj svijesti o sigurnosti stvara se i širi unutar različitih timova kako bi se osiguralo da su zaposlenici Vtigera svjesni politika informacijske sigurnosti, prijetnji u nastajanju i zajedničkih vektora napada. Uz ove sigurnosne svijesti provode se i radi podizanja svijesti o prijetnjama, sigurnosnim praksama i politikama poduzeća.
Fizičko osiguranje
Vtigerova korporativna sigurnost odgovorna je za zaštitu Vtiger imovine na fizičkim lokacijama. Vtiger prati prostorije CCTV kamerama, sigurnosne snimke su dostupne do određenog razdoblja, ovisno o zahtjevima za to mjesto. Pristup prostorijama je omogućen korištenjem biometrijske i Keycards identifikacije.
U slučaju resursa u oblaku (poput AWS, DigitalOcean, OVH), pružatelji internetskih usluga u oblaku odgovorni su za osiguranje imovine i održavanje odgovarajuće sigurnosne kontrole. Više pojedinosti o tome kako se mogu pronaći sigurnosne kontrole ISP-a ovdje.
Operativna sigurnost
Ove prakse usredotočuju se na praćenje komunikacijskih sustava u stvarnom vremenu radi aktivnih prijetnji i postupaka radi zaštite informacijskog sustava.
Sječa i nadzor
Infrastruktura i aplikacije nadziru se 24X7 s vlasničkim i poslovnim alatima. Pratimo unutarnji promet u našoj mreži i korištenje uređaja i terminala. Bilježimo zapise događaja, evidencije revizija, zapise o pogreškama, zapisnike administratora i zapisnike operatora, a ti se zapisi analiziraju na anomalije i incidente. Ti se zapisnici pohranjuju na sigurno u izoliranom kapacitetu.
Procjena ranjivosti
Vtiger također zapošljava sigurnosni tim za otkrivanje i rješavanje ranjivosti u okviru našeg softvera, kao i za poticanje naših članova šire zajednice softverske sigurnosti na prepoznavanje i prijavljivanje ranjivosti.
rezerva
Vtiger svakodnevno preuzima sigurnosne kopije baze podataka i datoteka svih klijenata. Ova sigurnosna kopija pohranjena je na zasebnom poslužitelju radi zaštite od rizika od kvara hardvera. U slučaju takvog kvara, pristup podacima i usluzi može se vratiti u roku od 8 sati.
Sigurnosne zakrpe
Vtiger provodi preventivno održavanje kako bi se zaštitio od bilo kakvih potencijalnih ranjivosti primjenom zakrpa kao i kad su one razvijene interno ili na bilo koji drugi način postanu dostupne.
Sigurnost podataka
Podaci su ključni za poslovanje i da bismo cijelo vrijeme održavali povjerljivost, dostupnost i cjelovitost podataka, slijedimo stroge smjernice koje se vrte oko naše arhitekture, razvoja i poslovanja.
Tehničke prakse
Inženjerski timovi slijede smjernice za sigurno kodiranje, kao i ručni pregled / pregled koda prije nego što se primijene u proizvodnji.
Smjernice za sigurno kodiranje temelje se na OWASP standardima i implementiraju se u skladu s tim da se zaštite unutar uobičajenih slojeva zaštite od uobičajenih prijetnji i vektora napada (poput SQL ubrizgavanja, skripti na različitim mjestima).
Izolacija podataka
Vtiger slijedi arhitekturu jednog stanara, pa svaka instanca ima svoj zasebni prostor koji im je dodijeljen. Ove instance ne znaju za svaku drugu instancu i stoga se izvode zasebno.
Šifriranje
U tranzitu
Svi podaci preneseni između preglednika i Vtigerovih poslužitelja zaštićeni su industrijskim standardom TLS 1.2 / 1.3. To uključuje web stranice, API, mobilne aplikacije i IMAP / POP / SMTP pristup klijentima e-pošte.
Omogućili smo sigurne konfiguracije poput savršene tajnosti naprijed (PFS) i zaglavlje HTTP stroge transportne sigurnosti (HSTS) za sav naš web promet, a ovaj preglednik nalaže da se povezuje samo putem šifriranog komunikacijskog kanala.
U miru
Skladišni diskovi svih poslužitelja šifriraju se pomoću šifriranja na razini diska.
Podaci o klijentima koji koriste osjetljiva polja šifriraju se pomoću 256-bitnog naprednog standarda šifriranja (AES), a za upravljanje ključevima koristimo AWS uslugu upravljanja ključevima (KMS).
Rezervne kopije šifriraju se pomoću AES-256 na AWS S3.
Čuvanje i brisanje podataka
Podaci o kupcima zadržavamo sve dok su oni aktivni pretplatnici usluge, u slučaju otkazivanja ili neaktivnosti slijedeći pravila osigurava raspolaganje podacima.
Za probne račune koji ne pokrenu plaćenu pretplatu podaci se brišu 12 dana nakon završetka suđenja.
Za plaćene račune koji su otkazani podaci se brišu 90 dana nakon datuma otkazivanja računa.
Za plaćene račune koji imaju neuspjelo plaćanje, račun će biti obustavljen u roku od 15 dana i zatvoren nakon 90 dana. Svi podaci bit će izbrisani 1 tjedan nakon zatvaranja računa.
Za besplatne račune podaci se brišu nakon 60 dana neaktivnosti računa.
Podaci za naplatu koji se koriste za generiranje računa čuvaju se 7 godina u poslovne svrhe.
Lokacija podataka
Vtigerovi poslužitelji nalaze se u Sjedinjenim Državama, Ujedinjenom Kraljevstvu, Europskoj uniji (Irska, Frankfurt), Australiji, Singapuru, Japanu i Indiji. Poslužitelj na kojem se pohranjuju vaši podaci ovisi o regiji u kojoj se nalazite u trenutku kada započnete svoju besplatnu probnu verziju Vtigera.
Upravljanje incidentima
Proces koji opisuje aktivnosti organizacije na identificiranju, analiziranju i ispravljanju opasnosti kako bi se spriječila buduća ponovna pojava. Ako se ne uspije, incident može eskalirati u izvanrednu situaciju, krizu ili katastrofu.
Izvještavanje
Vtiger svakodnevno preuzima sigurnosne kopije baze podataka i datoteka svih klijenata. Ova sigurnosna kopija pohranjena je na zasebnom poslužitelju radi zaštite od rizika od kvara hardvera. U slučaju takvog kvara, pristup podacima i usluzi može se vratiti u roku od 8 sati.
Namjenski timovi odgovorni su za gledanje različitih incidenata koji se događaju u okruženju koje se odnosi na vas, pratimo obavezne radnje postupanja i prijavljivanja. Pratimo temeljni uzrok problema i poduzimamo mjere predostrožnosti kako bismo to izbjegli u budućnosti. Uvode se daljnje mjere i kontrole za ublažavanje sličnih situacija.
Obavijest o kršenju
Ako se utvrdi kršenje na razini usluge, Vtiger će upozoriti svoje kupce i nadležne vlasti u roku od 72 sata od otkrića.