Обзор безопасности

Введение

Информация и информационные системы Vtiger являются ценными активами и должны быть защищены. Это достигается путем внедрения надлежащих структур безопасности для управления рисками для Vtiger и обеспечения непрерывности бизнеса за счет предотвращения инцидентов безопасности и снижения их потенциального воздействия.

Организационная безопасность

Политики и процедуры определены и внедрены в доменах и бизнес-процессах. Политики используются для проверки средств контроля и защиты конфиденциальности, доступности и целостности информации и информационных ресурсов Vtiger.

Проверка сотрудников

Каждый сотрудник проверяется до того, как он официально вступает в компанию. Vtiger нанимает внешнего стороннего поставщика для проверки биографических данных, которая включает проверку судимости, предыдущих записей о занятости, если таковые имеются, и образование.

Обучение и осведомленность

Содержимое для обеспечения безопасности создается и распространяется внутри разных групп, чтобы сотрудники Vtiger были осведомлены о политиках информационной безопасности, возникающих угрозах и распространенных направлениях атак. В дополнение к этому проводятся занятия по повышению безопасности, чтобы повысить осведомленность об угрозах, методах безопасности и политиках компании.

Физическая охрана

Корпоративная безопасность Vtiger отвечает за защиту активов Vtiger в физических местах. Vtiger контролирует помещение с помощью камер видеонаблюдения, резервное копирование доступно в течение определенного периода, в зависимости от требований для этого места. Доступ в помещение предоставляется после использования биометрической и идентификационной карточек.

В случае облачных ресурсов (таких как AWS, DigitalOcean, OVH) облачные интернет-провайдеры несут ответственность за защиту активов и поддержание надлежащих мер безопасности. Подробнее о том, как можно найти меры безопасности ISP здесь.

Операционная безопасность

Эти практики направлены на мониторинг систем связи в реальном времени на предмет наличия активных угроз и процедур, обеспечивающих защиту информационных систем.

Регистрация и мониторинг

Инфраструктура и приложения контролируются круглосуточно с помощью фирменных и корпоративных инструментов. Мы отслеживаем внутренний трафик в нашей сети и использование устройств и терминалов. Мы записываем журналы событий, журналы аудита, журналы отказов, журналы администратора и журналы операторов, и эти журналы анализируются на предмет аномалий и инцидентов. Эти журналы надежно хранятся в изолированном хранилище.

Оценка уязвимости

Vtiger также нанимает команду безопасности для обнаружения и устранения уязвимостей в нашем программном обеспечении, а также для стимулирования наших членов из более широкого сообщества разработчиков программного обеспечения для выявления и сообщения об уязвимостях.

Восстановление

Vtiger ежедневно создает резервные копии базы данных и файлов каждого клиента. Эта резервная копия хранится на отдельном сервере для защиты от риска аппаратного сбоя. В случае такого сбоя доступ к данным и услугам может быть восстановлен в течение 8 часов.

Патчи безопасности

Vtiger выполняет профилактическое обслуживание для защиты от любых потенциальных уязвимостей путем развертывания исправлений по мере того, как они разрабатываются внутри или иным образом становятся доступными.

Безопасность данных

Данные являются ключом к бизнесу, и для обеспечения конфиденциальности, доступности и целостности данных все время мы следуем строгим правилам, которые вращаются вокруг нашей архитектуры, разработки и операций.

Инженерные практики

Инженерные группы следуют рекомендациям по безопасному кодированию, а также ручному анализу / проверке кода перед его развертыванием в производстве.

Рекомендации по безопасному кодированию основаны на стандартах OWASP и применяются соответствующим образом для защиты от распространенных угроз и векторов атак (таких как внедрение SQL, межсайтовый скриптинг) на уровне приложений.

Изоляция данных

Vtiger следует архитектуре с одним арендатором, поэтому для каждого экземпляра выделено отдельное пространство. Эти экземпляры не знают о каждом другом экземпляре и, следовательно, работают отдельно.

Шифрование

В Пути

Все данные, передаваемые между вашим браузером и серверами Vtiger, защищены промышленным стандартом TLS 1.2 / 1.3. Это включает в себя веб-приложения, API, мобильные приложения и доступ к почтовому клиенту IMAP / POP / SMTP.

Мы включили безопасные конфигурации, такие как совершенная прямая секретность (PFS) и заголовок HTTP Strict Transport Security (HSTS) для всего нашего веб-трафика, это обязывает браузер подключаться только через зашифрованный канал связи.

 В состоянии покоя

Диски хранилищ всех серверов шифруются с использованием шифрования на уровне дисков.

Данные клиента с использованием чувствительных полей шифруются с использованием 256-битного стандарта расширенного шифрования (AES), для управления ключами мы используем сервис управления ключами AWS (KMS).

Резервные копии зашифрованы с использованием AES-256 на AWS S3.

Хранение и удаление данных

Мы сохраняем данные клиентов до тех пор, пока они являются активными подписчиками службы, в случае отмены или неактивности следующие правила обеспечивают удаление данных.

Для пробных аккаунтов, которые не запускают платную подписку, данные удаляются через 12 дней после окончания пробной версии.

Для платных аккаунтов, которые отменены, данные удаляются через 90 дней после даты аннулирования аккаунта.

Для платных аккаунтов, в которых произошел сбой платежа, аккаунт будет заблокирован в течение дней 15 и закрыт после дней 90. Все данные будут удалены 1 через неделю после закрытия аккаунта.

Для бесплатных аккаунтов данные удаляются через 60 дней бездействия аккаунта.

Данные для выставления счетов, используемые для генерации счетов-фактур, хранятся в течение 7 лет в коммерческих целях.

Расположение данных

Серверы Vtiger расположены в США, Великобритании, Европейском Союзе (Ирландия, Франкфурт), Австралии, Сингапуре, Японии и Индии. Сервер, на котором хранятся ваши данные, зависит от региона, в котором вы находитесь на момент начала бесплатной пробной версии Vtiger.

Управление инцидентами

Процесс, описывающий деятельность организации по выявлению, анализу и исправлению опасностей для предотвращения повторного возникновения в будущем. Если не справиться, инцидент может перерасти в чрезвычайную ситуацию, кризис или катастрофу.

Reporting

Vtiger ежедневно создает резервные копии базы данных и файлов каждого клиента. Эта резервная копия хранится на отдельном сервере для защиты от риска аппаратного сбоя. В случае такого сбоя доступ к данным и услугам может быть восстановлен в течение 8 часов.

Специализированные группы несут ответственность за рассмотрение различных инцидентов, происходящих в среде, которая относится к вам, мы выполняем обязательные действия по обработке и сообщаем о них. Мы отслеживаем первопричину проблемы и принимаем меры предосторожности, чтобы избежать этого в будущем. Для смягчения подобных ситуаций принимаются дополнительные меры и средства контроля.

Уведомление о нарушении

В случае обнаружения нарушения на уровне обслуживания, Vtiger уведомит своих клиентов и соответствующие органы в течение 72 часов после обнаружения.