Tổng quan về An ninh

Giới thiệu

Hệ thống thông tin và thông tin của Vtiger là tài sản quý giá và phải được bảo vệ. Điều này đạt được bằng cách triển khai các khung bảo mật thích hợp để quản lý rủi ro cho Vtiger và đảm bảo tính liên tục trong kinh doanh bằng cách ngăn ngừa sự cố bảo mật và giảm tác động tiềm tàng của chúng.

An ninh tổ chức

Chính sách và thủ tục được xác định và thực hiện trên các lĩnh vực và quy trình kinh doanh. Các chính sách được sử dụng để kiểm tra kiểm soát và để bảo vệ tính bảo mật, tính sẵn có và tính toàn vẹn của thông tin và tài nguyên thông tin của Vtiger.

Vets nhân viên

Mỗi nhân viên đều được hiệu đính trước khi họ chính thức gia nhập công ty. Vtiger sử dụng nhà cung cấp bên thứ ba bên ngoài để thực hiện xác minh lý lịch bao gồm kiểm tra hồ sơ tội phạm, hồ sơ việc làm trước đây nếu có, và nền tảng giáo dục.

Đào tạo và nhận thức

Nội dung nhận thức bảo mật được tạo và lưu hành trong các nhóm khác nhau để đảm bảo rằng nhân viên của Vtiger nhận thức được các chính sách bảo mật thông tin, các mối đe dọa mới nổi và các vectơ tấn công phổ biến. Ngoài các phiên nhận thức bảo mật này được tiến hành để nâng cao nhận thức về các mối đe dọa, thực tiễn bảo mật và chính sách của công ty.

An ninh và Bảo vệ

Bảo mật công ty của Vtiger chịu trách nhiệm bảo vệ tài sản của Vtiger tại các vị trí thực tế. Vtiger giám sát các cơ sở với camera quan sát, cảnh quay dự phòng có sẵn trong một khoảng thời gian nhất định, tùy thuộc vào yêu cầu cho địa điểm đó. Quyền truy cập vào cơ sở được cấp khi sử dụng nhận dạng Sinh trắc học và Thẻ khóa.

Trong trường hợp tài nguyên đám mây (như AWS, DigitalOcean, OVH), các ISP đám mây có trách nhiệm bảo mật tài sản và duy trì kiểm soát bảo mật thích hợp. Thêm chi tiết về cách kiểm soát bảo mật của ISP có thể được tìm thấy Ở đây.

An ninh hoạt động

Những thực hành này tập trung giám sát các hệ thống truyền thông thời gian thực cho các mối đe dọa và thủ tục tích cực để giữ cho hệ thống thông tin được bảo vệ.

Ghi nhật ký & Giám sát

Cơ sở hạ tầng và ứng dụng được giám sát 24X7 với các công cụ độc quyền và doanh nghiệp. Chúng tôi giám sát lưu lượng truy cập nội bộ trong mạng của chúng tôi và việc sử dụng các thiết bị và thiết bị đầu cuối. Chúng tôi ghi lại nhật ký sự kiện, nhật ký kiểm toán, nhật ký lỗi, nhật ký quản trị viên và nhật ký vận hành và các nhật ký này được phân tích cho sự bất thường và sự cố. Các nhật ký này được lưu trữ an toàn trong một khả năng cô lập.

Đánh giá tính dễ bị tổn thương

Vtiger cũng sử dụng một nhóm bảo mật để khám phá và giải quyết các lỗ hổng trong phần mềm của chúng tôi, cũng như khuyến khích các thành viên của cộng đồng bảo mật phần mềm rộng lớn hơn để xác định và báo cáo các lỗ hổng.

sao lưu

Vtiger lấy cơ sở dữ liệu và sao lưu tệp của mỗi phiên bản khách hàng mỗi ngày. Bản sao lưu này được lưu trữ trên một máy chủ riêng biệt để bảo vệ khỏi nguy cơ lỗi phần cứng. Trong trường hợp thất bại như vậy, truy cập dữ liệu và dịch vụ có thể được khôi phục trong vòng 8 giờ.

Bản vá bảo mật

Vtiger thực hiện bảo trì phòng ngừa để bảo vệ chống lại bất kỳ lỗ hổng tiềm ẩn nào bằng cách triển khai các bản vá khi chúng được phát triển nội bộ hoặc có sẵn.

Bảo mật dữ liệu

Dữ liệu là chìa khóa cho doanh nghiệp và để duy trì tính bảo mật, tính sẵn sàng và tính toàn vẹn của dữ liệu mọi lúc, chúng tôi tuân theo các nguyên tắc nghiêm ngặt xoay quanh kiến ​​trúc, phát triển và hoạt động của chúng tôi.

Thực hành kỹ thuật

Các nhóm kỹ thuật tuân theo các hướng dẫn mã hóa an toàn, cũng như xem xét / sàng lọc mã thủ công trước khi nó được triển khai trong sản xuất.

Các hướng dẫn mã hóa an toàn dựa trên các tiêu chuẩn OWASP và được triển khai theo đó để bảo vệ chống lại các mối đe dọa và các vectơ tấn công phổ biến (như SQL tiêm, kịch bản chéo trang web) trong lớp ứng dụng.

Cách ly dữ liệu

Vtiger tuân theo kiến ​​trúc đối tượng thuê duy nhất, do đó mỗi phiên bản đều có không gian riêng biệt của riêng chúng được phân bổ cho chúng. Những trường hợp này không biết về mọi trường hợp khác và do đó chạy riêng lẻ.

Encryption

Trên đường vận chuyển

Tất cả dữ liệu được chuyển giữa trình duyệt của bạn và máy chủ của Vtiger được bảo mật bằng TLS 1.2 / 1.3 tiêu chuẩn công nghiệp. Điều này bao gồm ứng dụng web, API, Ứng dụng di động và quyền truy cập ứng dụng email email IMAP / POP / SMTP.

Chúng tôi đã kích hoạt các cấu hình bảo mật như bảo mật hoàn hảo chuyển tiếp (PFS) và tiêu đề bảo mật giao thông nghiêm ngặt HTTP (HSTS) cho tất cả lưu lượng truy cập web của chúng tôi, điều này bắt buộc trình duyệt chỉ kết nối qua kênh liên lạc được mã hóa.

 Ở phần còn lại

Đĩa lưu trữ của tất cả các máy chủ được mã hóa bằng Mã hóa cấp đĩa.

Dữ liệu khách hàng sử dụng các trường nhạy cảm được mã hóa bằng Tiêu chuẩn mã hóa nâng cao 256-bit (AES), chúng tôi sử dụng Dịch vụ quản lý khóa AWS (KMS) để quản lý khóa.

Sao lưu được mã hóa bằng AES-256 tại AWS S3.

Lưu giữ và xóa dữ liệu

Chúng tôi giữ lại dữ liệu của khách hàng miễn là họ là thuê bao hoạt động của dịch vụ, trong trường hợp hủy hoặc không hoạt động theo các quy tắc đảm bảo xử lý dữ liệu.

Đối với các tài khoản dùng thử không bắt đầu đăng ký trả phí, dữ liệu sẽ bị xóa 12 ngày sau khi thử nghiệm kết thúc.

Đối với các tài khoản đã thanh toán bị hủy, dữ liệu sẽ bị xóa 90 ngày sau ngày hủy tài khoản.

Đối với các tài khoản thanh toán bị lỗi thanh toán, tài khoản sẽ bị treo trong vòng ngày 15 và bị đóng sau ngày 90. Tất cả dữ liệu sẽ bị xóa 1 tuần sau khi đóng tài khoản.

Đối với tài khoản miễn phí, dữ liệu sẽ bị xóa sau 60 ngày không hoạt động.

Dữ liệu thanh toán được sử dụng để tạo hóa đơn được giữ lại trong 7 năm cho mục đích kinh doanh.

Vị trí dữ liệu

Máy chủ của Vtiger được đặt tại Hoa Kỳ, Vương quốc Anh, Liên minh Châu Âu (Ireland, Frankfurt), Úc, Singapore, Nhật Bản và Ấn Độ. Máy chủ lưu trữ dữ liệu của bạn phụ thuộc vào khu vực bạn đang ở tại thời điểm bạn bắt đầu dùng thử Vtiger miễn phí.

Quản lý sự cố

Quá trình mô tả các hoạt động của một tổ chức để xác định, phân tích và khắc phục các mối nguy hiểm để ngăn chặn sự tái diễn trong tương lai. Nếu không được quản lý, một sự cố có thể leo thang thành một trường hợp khẩn cấp, khủng hoảng hoặc thảm họa.

Báo cáo

Vtiger lấy cơ sở dữ liệu và sao lưu tệp của mỗi phiên bản khách hàng mỗi ngày. Bản sao lưu này được lưu trữ trên một máy chủ riêng biệt để bảo vệ khỏi nguy cơ lỗi phần cứng. Trong trường hợp thất bại như vậy, truy cập dữ liệu và dịch vụ có thể được khôi phục trong vòng 8 giờ.

Các nhóm chuyên trách có trách nhiệm xem xét các sự cố khác nhau xảy ra trong môi trường áp dụng cho bạn, chúng tôi tuân theo các hành động bắt buộc xử lý và báo cáo sự cố đó. Chúng tôi theo dõi nguyên nhân gốc rễ của vấn đề và thực hiện các biện pháp phòng ngừa để tránh điều này trong tương lai. Các biện pháp và biện pháp kiểm soát khác được đưa ra để giảm thiểu các tình huống tương tự.

Thông báo vi phạm

Nếu vi phạm được phát hiện ở cấp độ dịch vụ, Vtiger sẽ thông báo cho khách hàng và các cơ quan hữu quan trong vòng 72 giờ sau khi phát hiện.