Panoramica sulla sicurezza

Introduzione

I sistemi di informazione e informazione Vtiger sono beni preziosi e devono essere protetti. Ciò si ottiene implementando adeguati quadri di sicurezza per la gestione dei rischi per Vtiger e garantendo la continuità aziendale prevenendo incidenti di sicurezza e riducendo il loro potenziale impatto.

Sicurezza organizzativa

Politiche e procedure sono definite e implementate in domini e processi aziendali. Le politiche vengono utilizzate per testare i controlli e proteggere la riservatezza, la disponibilità e l'integrità delle informazioni e delle risorse di informazioni di Vtiger.

Verifica dei dipendenti

Ogni dipendente viene controllato prima di entrare formalmente in azienda. Vtiger si avvale di un fornitore esterno di terze parti per eseguire la verifica del background che include il controllo dei precedenti penali, precedenti precedenti di assunzione e precedenti di istruzione.

Formazione e consapevolezza

Il contenuto di consapevolezza della sicurezza viene creato e distribuito all'interno di diversi team per garantire che i dipendenti di Vtiger siano consapevoli delle politiche di sicurezza delle informazioni, delle minacce emergenti e dei vettori di attacco comuni. Inoltre, vengono condotte sessioni di sensibilizzazione sulla sicurezza per sensibilizzare sulle minacce, sulle pratiche di sicurezza e sulle politiche aziendali.

Sicurezza fisica

La sicurezza aziendale di Vtiger è responsabile della protezione delle risorse di Vtiger in luoghi fisici. Vtiger monitora i locali con telecamere a circuito chiuso, i filmati di backup sono disponibili fino a un certo periodo, a seconda dei requisiti per quella posizione. L'accesso ai locali è concesso mediante l'uso dell'identificazione biometrica e keycard.

In caso di risorse cloud (come AWS, DigitalOcean, OVH) gli ISP cloud sono responsabili della sicurezza delle risorse e del mantenimento dei controlli di sicurezza adeguati. Maggiori dettagli su come trovare i controlli di sicurezza dell'ISP qui.

Sicurezza operativa

Queste pratiche si concentrano sul monitoraggio dei sistemi di comunicazione in tempo reale per le minacce e le procedure attive per proteggere i sistemi di informazione.

Registrazione e monitoraggio

Infrastruttura e applicazioni sono monitorate 24 ore su 7, XNUMX giorni su XNUMX con strumenti proprietari e aziendali. Monitoriamo il traffico interno nella nostra rete e l'utilizzo di dispositivi e terminali. Registriamo registri eventi, registri di controllo, registri guasti, registri amministratore e registri operatore e questi registri vengono analizzati per anomalie e incidenti. Questi registri sono memorizzati in modo sicuro in una capacità isolata.

Valutazione di vulnerabilità

Vtiger impiega anche un team di sicurezza per scoprire e affrontare le vulnerabilità all'interno del nostro software, oltre a incentivare i nostri membri della più ampia comunità della sicurezza del software per identificare e segnalare le vulnerabilità.

di riserva

Vtiger esegue quotidianamente backup di database e file di ogni istanza del cliente. Questo backup è archiviato su un server separato per proteggere dal rischio di guasti hardware. In caso di tale errore, l'accesso ai dati e al servizio può essere ripristinato entro 8 ore.

Patch di sicurezza

Vtiger esegue la manutenzione preventiva per proteggersi da eventuali vulnerabilità distribuendo patch man mano che vengono sviluppate internamente o altrimenti disponibili.

Sicurezza dei dati

I dati sono fondamentali per l'azienda e per mantenere la riservatezza, la disponibilità e l'integrità dei dati in ogni momento, seguiamo rigide linee guida che ruotano attorno alla nostra architettura, sviluppo e operazioni.

Pratiche di ingegneria

I team di ingegneri seguono linee guida di codifica sicure, nonché revisione / screening manuale del codice prima che venga implementato nella produzione.

Le linee guida per la codifica sicura sono basate sugli standard OWASP e implementate di conseguenza per proteggere dalle minacce comuni e dai vettori di attacco (come iniezione SQL, scripting cross site) all'interno del livello dell'applicazione.

Isolamento dei dati

Vtiger segue l'architettura multi-tenant, quindi ad ogni istanza è assegnato un proprio spazio separato. Queste istanze non sono a conoscenza di ogni altra istanza e quindi vengono eseguite separatamente.

crittografia

In Transito

Tutti i dati trasferiti tra il tuo browser e i server di Vtiger sono protetti con lo standard industriale TLS 1.2 / 1.3. Ciò include webapp, API, app mobili e accesso client e-mail IMAP / POP / SMTP.

Abbiamo abilitato configurazioni sicure come Perfect Forward Secrecy (PFS) e header HTTP Strict Transport Security (HSTS) a tutto il nostro traffico web, questo impone al browser di connettersi solo tramite un canale di comunicazione crittografato.

A riposo

I dischi di archiviazione di tutti i server sono crittografati mediante Crittografia livello disco.

I dati dei clienti che utilizzano campi sensibili vengono crittografati utilizzando Advanced Encryption Standard (AES) a 256 bit, utilizziamo AWS Key Management Service (KMS) per la gestione delle chiavi.

I backup vengono crittografati utilizzando AES-256 su AWS S3.

Conservazione e cancellazione dei dati

Conserviamo i dati dei clienti fintanto che sono abbonati attivi del servizio, in caso di cancellazione o inattività le seguenti regole assicurano lo smaltimento dei dati.

Per gli account di prova che non iniziano un abbonamento a pagamento, i dati vengono eliminati 12 giorni dopo la fine del periodo di prova.

Per gli account a pagamento che vengono cancellati, i dati vengono eliminati 90 giorni dopo la data di cancellazione dell'account.

Per gli account a pagamento che hanno un errore di pagamento, l'account verrà sospeso entro 15 giorni e chiuso dopo 90 giorni. Tutti i dati saranno cancellati 1 settimana dopo la chiusura dell'account.

Per gli account gratuiti, i dati vengono eliminati dopo 60 giorni di inattività dell'account.

I dati di fatturazione utilizzati per la generazione della fattura vengono conservati per 7 anni a fini commerciali.

Posizione dei dati

I server di Vtiger si trovano negli Stati Uniti, nell'Unione Europea (Irlanda, Francoforte), in Australia, Singapore, Giappone e India. Il server su cui sono archiviati i tuoi dati dipende dalla regione in cui ti trovi nel momento in cui inizi la tua prova gratuita di Vtiger.

Gestione degli incidenti

Processo che descrive le attività di un'organizzazione per identificare, analizzare e correggere i pericoli per prevenire un futuro ripetersi. Se non gestito, un incidente può degenerare in un'emergenza, una crisi o un disastro.

Segnalazione

I team dedicati sono responsabili di esaminare i diversi incidenti che si verificano all'interno dell'ambiente che si applicano a te, seguiamo le azioni obbligatorie di gestione e segnalazione. Tracciamo la causa principale del problema e prendiamo misure precauzionali per evitarlo in futuro. Ulteriori misure e controlli sono messi in atto per mitigare situazioni simili.

Notifica di violazione

Se viene rilevata una violazione a livello di servizio, Vtiger avviserà i propri clienti e le autorità interessate entro 72 ore dalla scoperta.