Przegląd zabezpieczeń

Wprowadzenie

Informacje i systemy informacyjne Vtiger są cennymi zasobami i muszą być chronione. Osiąga się to poprzez wdrożenie odpowiednich ram bezpieczeństwa do zarządzania ryzykiem dla Vtiger i zapewnienia ciągłości biznesowej poprzez zapobieganie incydentom bezpieczeństwa i ograniczanie ich potencjalnego wpływu.

Bezpieczeństwo organizacyjne

Zasady i procedury są definiowane i wdrażane w domenach i procesach biznesowych. Zasady są używane do testowania kontroli oraz do ochrony poufności, dostępności i integralności informacji i zasobów informacyjnych Vtiger.

Kontrola pracowników

Każdy pracownik jest sprawdzany przed formalnym dołączeniem do firmy. Vtiger zatrudnia zewnętrznych dostawców zewnętrznych w celu weryfikacji przeszłości, która obejmuje weryfikację rejestrów karnych, poprzednich rejestrów zatrudnienia, jeśli takie istnieją, oraz wykształcenia.

Trening i świadomość

Treść dotycząca świadomości bezpieczeństwa jest tworzona i rozpowszechniana w różnych zespołach, aby zapewnić, że pracownicy Vtiger są świadomi zasad bezpieczeństwa informacji, pojawiających się zagrożeń i typowych wektorów ataków. Oprócz tych sesji dotyczących bezpieczeństwa prowadzone są sesje mające na celu podniesienie świadomości na temat zagrożeń, praktyk bezpieczeństwa i zasad firmy.

Bezpieczeństwo fizyczne

Bezpieczeństwo korporacyjne Vtiger odpowiada za ochronę zasobów Vtiger w fizycznych lokalizacjach. Vtiger monitoruje pomieszczenia za pomocą kamer CCTV, kopie zapasowe są dostępne do pewnego okresu, w zależności od wymagań dla tej lokalizacji. Dostęp do lokalu przyznaje się po wykorzystaniu identyfikacji biometrycznej i kart dostępu.

W przypadku zasobów w chmurze (takich jak AWS, DigitalOcean, OVH) dostawcy usług w chmurze są odpowiedzialni za zabezpieczenie zasobów i utrzymanie odpowiedniej kontroli bezpieczeństwa. Więcej informacji o tym, jak można znaleźć zabezpieczenia ISP tutaj.

Bezpieczeństwo operacyjne

Praktyki te koncentrują się na monitorowaniu systemów komunikacji w czasie rzeczywistym pod kątem aktywnych zagrożeń i procedur zapewniających ochronę systemów informatycznych.

Rejestrowanie i monitorowanie

Infrastruktura i aplikacje są monitorowane 24x7 za pomocą narzędzi zastrzeżonych i korporacyjnych. Monitorujemy ruch wewnętrzny w naszej sieci oraz wykorzystanie urządzeń i terminali. Rejestrujemy dzienniki zdarzeń, dzienniki kontroli, dzienniki błędów, dzienniki administratora i dzienniki operatora, a dzienniki te są analizowane pod kątem anomalii i incydentów. Te dzienniki są bezpiecznie przechowywane w izolowanej pojemności.

Ocena podatności

Vtiger zatrudnia również zespół ds. Bezpieczeństwa do wykrywania i usuwania luk w zabezpieczeniach naszego oprogramowania, a także do zachęcania członków szerszej społeczności zajmującej się bezpieczeństwem oprogramowania do identyfikowania i zgłaszania luk.

backup

Vtiger wykonuje kopie zapasowe baz danych i plików każdego wystąpienia klienta każdego dnia. Ta kopia zapasowa jest przechowywana na osobnym serwerze w celu ochrony przed ryzykiem awarii sprzętu. W przypadku takiej awarii dostęp do danych i usług można przywrócić w ciągu 8 godzin.

Łatki bezpieczeństwa

Vtiger wykonuje konserwację zapobiegawczą w celu ochrony przed potencjalnymi podatnościami na zagrożenia, wdrażając łatki w miarę ich opracowywania wewnętrznego lub w inny sposób stają się dostępne.

Bezpieczeństwo danych

Dane są kluczem do działalności i aby zachować poufność, dostępność i integralność danych przez cały czas, przestrzegamy surowych wytycznych, które dotyczą naszej architektury, rozwoju i działalności.

Praktyki inżynierskie

Zespoły inżynierów przestrzegają wytycznych bezpiecznego kodowania, a także ręcznego przeglądu / przeglądu kodu przed jego wdrożeniem w produkcji.

Wytyczne dotyczące bezpiecznego kodowania są oparte na standardach OWASP i odpowiednio wdrożone w celu ochrony przed typowymi zagrożeniami i wektorami ataków (takimi jak wstrzyknięcie SQL, skrypt między witrynami) w warstwie aplikacji.

Izolacja danych

Vtiger działa zgodnie z architekturą wielu dzierżawców, dlatego każda instancja ma przydzielone własne oddzielne miejsce. Te instancje są nieświadome każdej innej instancji i dlatego działają osobno.

Szyfrowanie

In Transit

Wszystkie dane przesyłane między Twoją przeglądarką a serwerami Vtiger są zabezpieczone standardem branżowym TLS 1.2 / 1.3. Obejmuje to aplikacje internetowe, API, aplikacje mobilne oraz dostęp do klienta poczty IMAP / POP / SMTP.

Udostępniliśmy bezpieczne konfiguracje, takie jak idealna tajemnica przekazywania (PFS) i nagłówek HTTP Strict Transport Security (HSTS) do całego naszego ruchu sieciowego, co wymaga, aby przeglądarka łączyła się tylko za pośrednictwem szyfrowanego kanału komunikacyjnego.

W spoczynku

Dyski pamięci wszystkich serwerów są szyfrowane przy użyciu szyfrowania na poziomie dysku.

Dane klientów korzystające z poufnych pól są szyfrowane przy użyciu 256-bitowego zaawansowanego standardu szyfrowania (AES), do zarządzania kluczami używamy usługi zarządzania kluczami AWS (KMS).

Kopie zapasowe są szyfrowane przy użyciu AES-256 w AWS S3.

Zatrzymywanie i usuwanie danych

Przechowujemy dane klientów, o ile są oni aktywnymi subskrybentami usługi, w przypadku anulowania lub bezczynności przestrzeganie poniższych zasad zapewnia usuwanie danych.

W przypadku kont próbnych, które nie rozpoczynają płatnej subskrypcji, dane są usuwane 12 dni po zakończeniu okresu próbnego.

W przypadku kont płatnych, które zostały anulowane, dane są usuwane 90 dni po dacie anulowania konta.

W przypadku kont płatnych, które mają niepowodzenie płatności, konto zostanie zawieszone w ciągu 15 dni, a zamknięte po dniach 90. Wszystkie dane zostaną usunięte 1 tydzień po zamknięciu konta.

W przypadku bezpłatnych kont dane są usuwane po 60 dniach nieaktywności konta.

Dane rozliczeniowe używane do generowania faktur są przechowywane przez 7 lat w celach biznesowych.

Lokalizacja danych

Serwery Vtiger znajdują się w Stanach Zjednoczonych, Unii Europejskiej (Irlandia, Frankfurt), Australii, Singapurze, Japonii i Indiach. Serwer, na którym przechowywane są Twoje dane, zależy od regionu, w którym się znajdujesz w momencie rozpoczęcia bezpłatnej wersji próbnej Vtiger.

Zarządzanie incydentami

Proces opisujący działania organizacji w celu zidentyfikowania, analizy i skorygowania zagrożeń, aby zapobiec ponownemu wystąpieniu w przyszłości. Jeśli nie zostanie zarządzony, incydent może przerodzić się w stan wyjątkowy, kryzys lub katastrofę.

Raportowanie

Zaangażowane zespoły są odpowiedzialne za przyglądanie się różnym incydentom występującym w środowisku, które dotyczy Ciebie, przestrzegamy obowiązkowych działań związanych z obsługą i zgłaszaniem tego. Śledzimy pierwotną przyczynę problemu i podejmujemy środki ostrożności, aby tego uniknąć w przyszłości. Wprowadzono dalsze środki i kontrole w celu złagodzenia podobnych sytuacji.

Powiadomienie o naruszeniu

W przypadku wykrycia naruszenia na poziomie usługi Vtiger powiadomi klientów i zainteresowane władze w ciągu 72 godzin od wykrycia.