Beveiligingsoverzicht

Inleiding

Informatie- en informatiesystemen van Vtiger zijn waardevolle activa en moeten worden beschermd. Dit wordt bereikt door het implementeren van goede beveiligingskaders voor het beheersen van risico's voor Vtiger en het waarborgen van bedrijfscontinuïteit door beveiligingsincidenten te voorkomen en de potentiële impact ervan te verminderen.

Organisatiebeveiliging

Beleid en procedures worden gedefinieerd en geïmplementeerd in domeinen en bedrijfsprocessen. Het beleid wordt gebruikt om controles te testen en om de vertrouwelijkheid, beschikbaarheid en integriteit van Vtiger-informatie en informatiebronnen te beschermen.

Controle van werknemers

Elke werknemer wordt gecontroleerd voordat hij / zij officieel bij het bedrijf komt. Vtiger heeft een externe externe leverancier in dienst om achtergrondverificatie uit te voeren, waaronder het doorlichten van strafregisters, eventuele eerdere arbeidsrecords en een educatieve achtergrond.

Training en bewustzijn

Inhoud van beveiligingsbewustzijn wordt gemaakt en verspreid binnen verschillende teams om ervoor te zorgen dat medewerkers van Vtiger op de hoogte zijn van informatiebeveiligingsbeleid, opkomende bedreigingen en veelvoorkomende aanvalsvectoren. Daarnaast worden beveiligingsbewustmakingssessies gehouden om het bewustzijn over de bedreigingen, beveiligingspraktijken en het bedrijfsbeleid te vergroten.

Fysieke bewaking

De bedrijfsbeveiliging van Vtiger is verantwoordelijk voor het beschermen van Vtiger-activa op fysieke locaties. Vtiger bewaakt het terrein met CCTV-camera's, back-up beelden zijn beschikbaar tot een bepaalde periode, afhankelijk van de vereisten voor die locatie. De toegang tot het pand wordt verleend door gebruik te maken van biometrische identificatie en keycards.

In het geval van cloudresources (zoals AWS, DigitalOcean, OVH) zijn cloud-ISP's verantwoordelijk om de activa te beveiligen en de juiste beveiligingscontroles te handhaven. Meer details over hoe ISP's beveiligingscontroles kunnen worden gevonden hier.

Operationele beveiliging

Deze praktijken zijn gericht op het bewaken van realtime communicatiesystemen voor actieve bedreigingen en procedures om informatiesystemen te beschermen.

Logboekregistratie en monitoring

Infrastructuur en applicaties worden 24x7 bewaakt met eigen en enterprise tools. We volgen intern verkeer in ons netwerk en het gebruik van apparaten en terminals. We registreren gebeurtenislogboeken, auditlogboeken, foutlogboeken, beheerderslogboeken en operatorlogboeken en deze logboeken worden geanalyseerd op afwijkingen en incidenten. Deze logs worden veilig opgeslagen in een geïsoleerde capaciteit.

Kwetsbaarheid Beoordeling

Vtiger heeft ook een beveiligingsteam in dienst om kwetsbaarheden in onze software te ontdekken en aan te pakken, en stimuleert onze leden van de bredere gemeenschap voor softwarebeveiliging om kwetsbaarheden te identificeren en te melden.

backup

Vtiger maakt elke dag database- en bestandsback-ups van elke klantinstantie. Deze back-up wordt op een aparte server opgeslagen om te beschermen tegen het risico van hardwarefalen. In het geval van een dergelijke storing kan de toegang tot gegevens en service binnen 8 uur worden hersteld.

Beveiligingspatches

Vtiger voert preventief onderhoud uit om te beschermen tegen mogelijke kwetsbaarheden door patches te implementeren wanneer deze intern worden ontwikkeld of anderszins beschikbaar komen.

Gegevensveiligheid

Gegevens zijn essentieel voor het bedrijf en om de vertrouwelijkheid, beschikbaarheid en integriteit van de gegevens te allen tijde te waarborgen, volgen we strikte richtlijnen die draaien om onze architectuur, ontwikkeling en activiteiten.

Engineering praktijken

Engineeringteams volgen veilige coderingsrichtlijnen, evenals handmatige beoordeling / screening van de code voordat deze in de productie wordt ingezet.

De richtlijnen voor veilige codering zijn gebaseerd op OWASP-standaarden en dienovereenkomstig geïmplementeerd om te beschermen tegen veelvoorkomende bedreigingen en aanvalsvectoren (zoals SQL-injectie, Cross-site scripting) binnen de applicatielaag.

Gegevensisolatie

Vtiger volgt de architectuur met één huurder, vandaar dat aan elke instantie zijn eigen afzonderlijke ruimte is toegewezen. Deze instanties zijn zich niet bewust van elke andere instantie en worden daarom afzonderlijk uitgevoerd.

Encryptie

Onderweg

Alle gegevens die tussen uw browser en de servers van Vtiger worden overgedragen, zijn beveiligd met industriestandaard TLS 1.2 / 1.3. Dit omvat webapps, API, mobiele apps en IMAP / POP / SMTP e-mailclienttoegang.

We hebben veilige configuraties zoals perfect forward secrecy (PFS) en HTTP Strict Transport Security header (HSTS) mogelijk gemaakt voor al ons webverkeer, dit verplicht de browser om alleen verbinding te maken via een gecodeerd communicatiekanaal.

 Onbeweeglijk

Opslagschijven van alle servers worden versleuteld met Schijfniveau-versleuteling.

Klantgegevens met behulp van gevoelige velden worden gecodeerd met 256-bit Advanced Encryption Standard (AES), we gebruiken AWS Key Management Service (KMS) voor sleutelbeheer.

Back-ups worden versleuteld met AES-256 op AWS S3.

Bewaring en verwijdering van gegevens

We bewaren klantgegevens zolang ze actieve abonnees van de dienst zijn, in geval van annulering of inactiviteit volgen de regels de verwijdering van gegevens.

Voor proefaccounts die geen betaald abonnement starten, worden de gegevens 12 dagen na afloop van de proef verwijderd.

Voor betaalde accounts die worden geannuleerd, worden de gegevens 90 dagen na de annuleringsdatum van de account verwijderd.

Voor betaalde accounts met een betalingsfout wordt het account binnen 15 dagen opgeschort en na 90 dagen gesloten. Alle gegevens worden na afloop van de account een week 1 verwijderd.

Voor gratis accounts worden gegevens verwijderd na 60 dagen inactiviteit van het account.

Factureringsgegevens die worden gebruikt voor het genereren van facturen, worden 7 jaar bewaard voor zakelijke doeleinden.

Gegevenslocatie

De servers van Vtiger bevinden zich in de Verenigde Staten, het Verenigd Koninkrijk, de Europese Unie (Ierland, Frankfurt), Australië, Singapore, Japan en India. De server waarop uw gegevens worden opgeslagen, is afhankelijk van de regio waarin u zich bevindt op het moment dat u uw gratis Vtiger-proefperiode start.

Incident Management

Proces dat de activiteiten van een organisatie beschrijft om gevaren te identificeren, analyseren en corrigeren om een ​​toekomstige herhaling te voorkomen. Als het niet wordt beheerd, kan een incident escaleren tot een noodsituatie, crisis of ramp.

Rapportage

Vtiger maakt elke dag database- en bestandsback-ups van elke klantinstantie. Deze back-up wordt op een aparte server opgeslagen om te beschermen tegen het risico van hardwarefalen. In het geval van een dergelijke storing kan de toegang tot gegevens en service binnen 8 uur worden hersteld.

Toegewijde teams zijn verantwoordelijk om te kijken naar verschillende incidenten binnen de omgeving die op u van toepassing zijn, we volgen de verplichte handelingen bij het afhandelen en melden ervan. We volgen de hoofdoorzaak van het probleem en nemen voorzorgsmaatregelen om dit in de toekomst te voorkomen. Er worden verdere maatregelen en controles getroffen om soortgelijke situaties te beperken.

Kennisgeving van schending

Als een inbreuk wordt ontdekt op serviceniveau, zal Vtiger zijn klanten en de betrokken autoriteiten binnen 72 uur na de ontdekking waarschuwen.