Wprowadzenie
Informacje i systemy informacyjne Vtiger są cennymi zasobami i muszą być chronione. Osiąga się to poprzez wdrożenie odpowiednich ram bezpieczeństwa do zarządzania ryzykiem dla Vtiger i zapewnienia ciągłości biznesowej poprzez zapobieganie incydentom bezpieczeństwa i ograniczanie ich potencjalnego wpływu.
Bezpieczeństwo organizacyjne
Zasady i procedury są definiowane i wdrażane w domenach i procesach biznesowych. Zasady są używane do testowania kontroli oraz do ochrony poufności, dostępności i integralności informacji i zasobów informacyjnych Vtiger.
Kontrola pracowników
Każdy pracownik jest sprawdzany przed formalnym dołączeniem do firmy. Vtiger zatrudnia zewnętrznych dostawców zewnętrznych w celu weryfikacji przeszłości, która obejmuje weryfikację rejestrów karnych, poprzednich rejestrów zatrudnienia, jeśli takie istnieją, oraz wykształcenia.
Trening i świadomość
Treść dotycząca świadomości bezpieczeństwa jest tworzona i rozpowszechniana w różnych zespołach, aby zapewnić, że pracownicy Vtiger są świadomi zasad bezpieczeństwa informacji, pojawiających się zagrożeń i typowych wektorów ataków. Oprócz tych sesji dotyczących bezpieczeństwa prowadzone są sesje mające na celu podniesienie świadomości na temat zagrożeń, praktyk bezpieczeństwa i zasad firmy.
Bezpieczeństwo fizyczne
Bezpieczeństwo korporacyjne Vtiger odpowiada za ochronę zasobów Vtiger w fizycznych lokalizacjach. Vtiger monitoruje pomieszczenia za pomocą kamer CCTV, kopie zapasowe są dostępne do pewnego okresu, w zależności od wymagań dla tej lokalizacji. Dostęp do lokalu przyznaje się po wykorzystaniu identyfikacji biometrycznej i kart dostępu.
W przypadku zasobów w chmurze (takich jak AWS, DigitalOcean, OVH) dostawcy usług w chmurze są odpowiedzialni za zabezpieczenie zasobów i utrzymanie odpowiedniej kontroli bezpieczeństwa. Więcej informacji o tym, jak można znaleźć zabezpieczenia ISP tutaj.
Bezpieczeństwo operacyjne
Praktyki te koncentrują się na monitorowaniu systemów komunikacji w czasie rzeczywistym pod kątem aktywnych zagrożeń i procedur zapewniających ochronę systemów informatycznych.
Rejestrowanie i monitorowanie
Infrastruktura i aplikacje są monitorowane 24x7 za pomocą narzędzi zastrzeżonych i korporacyjnych. Monitorujemy ruch wewnętrzny w naszej sieci oraz wykorzystanie urządzeń i terminali. Rejestrujemy dzienniki zdarzeń, dzienniki kontroli, dzienniki błędów, dzienniki administratora i dzienniki operatora, a dzienniki te są analizowane pod kątem anomalii i incydentów. Te dzienniki są bezpiecznie przechowywane w izolowanej pojemności.
Ocena podatności
Vtiger zatrudnia również zespół ds. Bezpieczeństwa do wykrywania i usuwania luk w zabezpieczeniach naszego oprogramowania, a także do zachęcania członków szerszej społeczności zajmującej się bezpieczeństwem oprogramowania do identyfikowania i zgłaszania luk.
backup
Vtiger wykonuje kopie zapasowe baz danych i plików każdego wystąpienia klienta każdego dnia. Ta kopia zapasowa jest przechowywana na osobnym serwerze w celu ochrony przed ryzykiem awarii sprzętu. W przypadku takiej awarii dostęp do danych i usług można przywrócić w ciągu 8 godzin.
Łatki bezpieczeństwa
Vtiger wykonuje konserwację zapobiegawczą w celu ochrony przed potencjalnymi podatnościami na zagrożenia, wdrażając łatki w miarę ich opracowywania wewnętrznego lub w inny sposób stają się dostępne.
Bezpieczeństwo danych
Dane są kluczem do działalności i aby zachować poufność, dostępność i integralność danych przez cały czas, przestrzegamy surowych wytycznych, które dotyczą naszej architektury, rozwoju i działalności.
Praktyki inżynierskie
Zespoły inżynierów przestrzegają wytycznych bezpiecznego kodowania, a także ręcznego przeglądu / przeglądu kodu przed jego wdrożeniem w produkcji.
Wytyczne dotyczące bezpiecznego kodowania są oparte na standardach OWASP i odpowiednio wdrożone w celu ochrony przed typowymi zagrożeniami i wektorami ataków (takimi jak wstrzyknięcie SQL, skrypt między witrynami) w warstwie aplikacji.
Izolacja danych
Vtiger podąża za architekturą jednego najemcy, dlatego każda instancja ma przydzieloną im własną oddzielną przestrzeń. Te instancje są nieświadome każdej innej instancji i dlatego działają osobno.
Szyfrowanie
In Transit
Wszystkie dane przesyłane między Twoją przeglądarką a serwerami Vtiger są zabezpieczone standardem branżowym TLS 1.2 / 1.3. Obejmuje to aplikacje internetowe, API, aplikacje mobilne oraz dostęp do klienta poczty IMAP / POP / SMTP.
Udostępniliśmy bezpieczne konfiguracje, takie jak idealna tajemnica przekazywania (PFS) i nagłówek HTTP Strict Transport Security (HSTS) do całego naszego ruchu sieciowego, co wymaga, aby przeglądarka łączyła się tylko za pośrednictwem szyfrowanego kanału komunikacyjnego.
W spoczynku
Dyski pamięci wszystkich serwerów są szyfrowane przy użyciu szyfrowania na poziomie dysku.
Dane klientów korzystające z poufnych pól są szyfrowane przy użyciu 256-bitowego zaawansowanego standardu szyfrowania (AES), do zarządzania kluczami używamy usługi zarządzania kluczami AWS (KMS).
Kopie zapasowe są szyfrowane przy użyciu AES-256 w AWS S3.
Zatrzymywanie i usuwanie danych
Przechowujemy dane klientów, o ile są oni aktywnymi subskrybentami usługi, w przypadku anulowania lub bezczynności przestrzeganie poniższych zasad zapewnia usuwanie danych.
W przypadku kont próbnych, które nie rozpoczynają płatnej subskrypcji, dane są usuwane 12 dni po zakończeniu okresu próbnego.
W przypadku kont płatnych, które zostały anulowane, dane są usuwane 90 dni po dacie anulowania konta.
W przypadku kont płatnych, które mają niepowodzenie płatności, konto zostanie zawieszone w ciągu 15 dni, a zamknięte po dniach 90. Wszystkie dane zostaną usunięte 1 tydzień po zamknięciu konta.
W przypadku bezpłatnych kont dane są usuwane po 60 dniach nieaktywności konta.
Dane rozliczeniowe używane do generowania faktur są przechowywane przez 7 lat w celach biznesowych.
Lokalizacja danych
Serwery Vtiger znajdują się w Stanach Zjednoczonych, Wielkiej Brytanii, Unii Europejskiej (Irlandia, Frankfurt), Australii, Singapurze, Japonii i Indiach. Serwer, na którym przechowywane są Twoje dane, zależy od regionu, w którym się znajdujesz w momencie rozpoczęcia bezpłatnej wersji próbnej Vtiger.
Zarządzanie incydentami
Proces opisujący działania organizacji w celu zidentyfikowania, analizy i skorygowania zagrożeń, aby zapobiec ponownemu wystąpieniu w przyszłości. Jeśli nie zostanie zarządzony, incydent może przerodzić się w stan wyjątkowy, kryzys lub katastrofę.
Raportowanie
Vtiger wykonuje kopie zapasowe baz danych i plików każdego wystąpienia klienta każdego dnia. Ta kopia zapasowa jest przechowywana na osobnym serwerze w celu ochrony przed ryzykiem awarii sprzętu. W przypadku takiej awarii dostęp do danych i usług można przywrócić w ciągu 8 godzin.
Zaangażowane zespoły są odpowiedzialne za przyglądanie się różnym incydentom występującym w środowisku, które dotyczy Ciebie, przestrzegamy obowiązkowych działań związanych z obsługą i zgłaszaniem tego. Śledzimy pierwotną przyczynę problemu i podejmujemy środki ostrożności, aby tego uniknąć w przyszłości. Wprowadzono dalsze środki i kontrole w celu złagodzenia podobnych sytuacji.
Powiadomienie o naruszeniu
W przypadku wykrycia naruszenia na poziomie usługi Vtiger powiadomi klientów i zainteresowane władze w ciągu 72 godzin od wykrycia.