úvod
Informačné a informačné systémy spoločnosti Vtiger sú hodnotnými aktívami a musia byť chránené. Dosahuje sa to zavedením vhodných bezpečnostných rámcov pre riadenie rizík pre spoločnosť Vtiger a zabezpečením kontinuity podnikania zabránením bezpečnostným incidentom a znížením ich potenciálneho vplyvu.
Organizačná bezpečnosť
Zásady a postupy sú definované a implementované vo všetkých doménach a obchodných procesoch. Tieto pravidlá sa používajú na testovanie ovládacích prvkov a na ochranu dôvernosti, dostupnosti a integrity informácií a informačných zdrojov spoločnosti Vtiger.
Vetting zamestnancov
Každý zamestnanec je pred formálnym vstupom do spoločnosti preverený. Spoločnosť Vtiger zamestnáva externého dodávateľa tretej strany na vykonanie overenia v pozadí, ktoré zahŕňa kontrolu registrov trestov, záznamov o predchádzajúcich zamestnaniach, ak existujú, a vzdelania.
Školenie a povedomie
Obsah bezpečnostného povedomia sa vytvára a rozširuje v rámci rôznych tímov, aby sa zaistilo, že zamestnanci spoločnosti Vtiger sú si vedomí politík informačnej bezpečnosti, vznikajúcich hrozieb a bežných útokových vektorov. Okrem týchto bezpečnostných stretnutí sa uskutočňujú aj stretnutia na zvýšenie informovanosti o hrozbách, bezpečnostných postupoch a firemných zásadách.
Fyzická bezpečnosť
Zabezpečenie spoločnosti Vtiger je zodpovedné za ochranu majetku spoločnosti Vtiger na fyzických miestach. Vtiger monitoruje priestory pomocou CCTV kamier, záložné zábery sú k dispozícii do určitého obdobia, v závislosti od požiadaviek na dané miesto. Prístup do priestorov sa udeľuje na základe identifikácie biometrických údajov a kariet.
V prípade cloudových zdrojov (ako AWS, DigitalOcean, OVH) sú cloudoví poskytovatelia internetových služieb zodpovední za zabezpečenie prostriedkov a udržiavanie riadnych bezpečnostných kontrol. Viac podrobností o tom, ako možno nájsť bezpečnostné kontroly poskytovateľa internetových služieb tu.
Prevádzková bezpečnosť
Tieto praktiky sa zameriavajú na monitorovanie komunikačných systémov v reálnom čase na prítomnosť aktívnych hrozieb a postupy na ochranu informačných systémov.
Prihlásenie a monitorovanie
Infraštruktúra a aplikácie sú monitorované 24x7 pomocou proprietárnych a podnikových nástrojov. Monitorujeme internú komunikáciu v našej sieti a používanie zariadení a terminálov. Zaznamenávame protokoly udalostí, protokoly auditov, protokoly chýb, protokoly správcov a protokoly operátorov a tieto protokoly sa analyzujú na anomálie a incidenty. Tieto denníky sú bezpečne uložené v izolovanej kapacite.
Posúdenie zraniteľnosti
Spoločnosť Vtiger tiež zamestnáva bezpečnostný tím na zisťovanie a riešenie zraniteľností v rámci nášho softvéru, ako aj na motivovanie našich členov širšej komunity zabezpečenia softvéru, aby identifikovali a hlásili zraniteľné miesta.
zálohovanie
Spoločnosť Vtiger každý deň ukladá zálohy databáz a súborov každej inštancie zákazníka. Táto záloha je uložená na samostatnom serveri, aby bola chránená pred rizikom zlyhania hardvéru. V prípade takejto poruchy je možné prístup k údajom a službám obnoviť do 8 hodín.
Bezpečnostné záplaty
Spoločnosť Vtiger vykonáva preventívnu údržbu s cieľom chrániť pred akýmikoľvek možnými zraniteľnými miestami nasadením opráv, keď sa vyvíjajú interne alebo inak sú dostupné.
Data Security
Dáta sú kľúčové pre podnikanie a pre zachovanie dôvernosti, dostupnosti a integrity údajov po celý čas sa riadime prísnymi pokynmi, ktoré sa točia okolo našej architektúry, vývoja a operácií.
Inžinierske postupy
Inžinierske tímy dodržiavajú pokyny týkajúce sa bezpečného kódovania, ako aj manuálne preskúmanie / skríning kódu pred jeho zavedením do výroby.
Pokyny pre bezpečné kódovanie sú založené na štandardoch OWASP a zodpovedajúco sú implementované tak, aby chránili pred bežnými hrozbami a napadnutými vektormi (ako je SQL injekcia, skriptovanie medzi servermi) v aplikačnej vrstve.
Izolácia dát
Vtiger dodržiava architektúru jedného nájomcu, a preto je každému inštancii pridelený vlastný oddelený priestor. Tieto inštancie nepoznajú všetky ostatné inštancie, a preto bežia oddelene.
Šifrovanie
V preprave
Všetky údaje prenášané medzi prehliadačom a servermi spoločnosti Vtiger sú zabezpečené priemyselným štandardom TLS 1.2 / 1.3. Zahŕňa to webové aplikácie, API, mobilné aplikácie a prístup k e-mailovému klientovi IMAP / POP / SMTP.
Povolili sme bezpečné konfigurácie, ako je dokonalé predné tajomstvo (PFS) a hlavička HTTP Strict Transport Security (HSTS), pre všetky naše webové prenosy, čo prehliadaču povoľuje pripojenie iba prostredníctvom šifrovaného komunikačného kanála.
V pokoji
Úložné disky všetkých serverov sú šifrované pomocou šifrovania na úrovni disku.
Zákaznícke údaje využívajúce citlivé polia sú šifrované pomocou 256-bitového štandardu Advanced Encryption Standard (AES), pre správu kľúčov používame službu AWS Key Management Service (KMS).
Zálohy sú šifrované pomocou AES-256 na AWS S3.
Uchovávanie a vymazávanie údajov
Údaje o zákazníkoch uchovávame, pokiaľ sú aktívnymi účastníkmi služby, v prípade zrušenia alebo nečinnosti dodržiavania pravidiel zaisťuje likvidáciu údajov.
V prípade skúšobných účtov, ktoré nezačnú platiť predplatné, sa údaje vymažú 12 dní po skončení skúšobného obdobia.
Pre zrušené platené účty sa údaje odstránia 90 dní po dátume zrušenia účtu.
Pre platené účty, ktoré majú zlyhanie platby, bude účet pozastavený do 15 dní a zatvorený po 90 dňoch. Všetky údaje budú vymazané 1 týždeň po uzavretí účtu.
V prípade bezplatných účtov sa údaje odstránia po 60 dňoch nečinnosti účtu.
Fakturačné údaje použité na generovanie faktúry sa na obchodné účely uchovávajú 7 rokov.
Umiestnenie údajov
Servery Vtiger sa nachádzajú v Spojených štátoch, Spojenom kráľovstve, Európskej únii (Írsko, Frankfurt), Austrálii, Singapure, Japonsku a Indii. Server, na ktorom sú uložené vaše údaje, závisí od regiónu, v ktorom sa nachádzate v čase, keď spustíte bezplatnú skúšobnú verziu Vtiger.
Riadenie incidentov
Proces, ktorý popisuje činnosti organizácie na identifikáciu, analýzu a nápravu nebezpečenstiev s cieľom zabrániť ich opätovnému výskytu v budúcnosti. Ak nie je zvládnutá, incident môže eskalovať na núdzovú situáciu, krízu alebo katastrofu.
Hlásenie
Spoločnosť Vtiger každý deň ukladá zálohy databáz a súborov každej inštancie zákazníka. Táto záloha je uložená na samostatnom serveri, aby bola chránená pred rizikom zlyhania hardvéru. V prípade takejto poruchy je možné prístup k údajom a službám obnoviť do 8 hodín.
Vyhradené tímy sú zodpovedné za skúmanie rôznych incidentov, ktoré sa vyskytnú v prostredí, ktoré sa vás týka, riadime sa povinnými opatreniami pri jeho narábaní a hlásení. Sledujeme hlavnú príčinu problému a prijímame preventívne opatrenia, aby sme tomu zabránili v budúcnosti. Zavádzajú sa ďalšie opatrenia a kontroly na zmiernenie podobných situácií.
Oznámenie o porušení
Ak sa zistí porušenie na úrovni služieb, spoločnosť Vtiger upozorní svojich zákazníkov a príslušné orgány do 72 hodín od zistenia.