Uvod
Ovaj dokument opisuje mjere i napore PlanRadara da osigura moderne i visoke standarde za sigurnost podataka, privatnost i dostupnost usluga za naš softver.
Infrastruktura / Hosting
AWS Whitepapers & Informacija
Konfiguracijski menadžment
Slijedimo načela nepromjenjive infrastrukture i infrastrukture kao koda. U slučaju pogreške / kvara sustav se može regenerirati na temelju njegovih predložaka i izvornog koda. Za upravljanje infrastrukturom koristimo Kubernetes i Argocd.
Visoka dostupnost / skalabilnost
AWS čini naš sustav osjetljivim na velike skokove opterećenja i automatski će osigurati više resursa ako je to potrebno. Naši korisnici neće iskusiti utjecaj na performanse.
DDOS / Zaštita od web ranjivosti
Naša je web aplikacija oklopljena i zaštićena web proxy sustavom cloudflare.
Razvoj softvera
Provedba
Naš sustav se temelji na modernoj, robusnoj i u borbama dokazanoj tehnologiji otvorenog koda. Naša web aplikacija razvijena je s Ruby on Rails koristeći ažuriranu verziju podržanu sigurnosnom zakrpom. Naši mobilni klijenti razvijeni su u Javi, Objective-C i .NET.
Sav prijenos podataka obavlja se putem HTTPS / TLS i podaci su šifrirani dok miruju. (U našoj relacijskoj bazi podataka i u našoj pohrani objekata). Sve slike, planovi i dokumenti pohranjeni su u vrlo izdržljivomSustavu za pohranu Amazon S3.
OWASP
U našoj implementaciji slijedimo načelo sigurnosti prema dizajnu.
TDD
Sve naše osnovne funkcije implementirane su metodologijom razvoja vođenog testom.
Sigurnosne mjere aplikacije
Aplikacija je zaštićena višestrukim proxyjima i balanserima opterećenja. Imamo mogućnosti višefaktorske autentifikacije objedinjene prijave sa SAMl-om, prilagođene politike zaporke, ograničene pokušaje prijave, blokiranje korisnika pri pogrešnim pokušajima prijave i detaljnu konfiguraciju korisničkih dopuštenja.
Procesi
Zaposlenici
Svi naši zaposlenici, a posebno u podršci i inženjeringu, svjesni su privatnosti/sigurnosti podataka i prolaze obuku i SOP-ove za odgovorno postupanje s podacima naših klijenata. Svi zaposlenici imaju samo minimalno potreban pristup našim IT sustavima. Podaci o klijentima dostupni su samo odabranim zaposlenicima.
Upravljanje incidentima
Sigurnosni i privatni incidenti prikupljaju se na svakoj kontaktnoj točki i zatim usmjeravaju prema odgovornoj organizacijskoj jedinici. Naši sustavi za bilježenje otkrivaju anomalije u korištenju sustava i šalju automatske alarme ako je potrebno. Napisali smo procedure za oporavak od katastrofe i vraćanje iz sigurnosne kopije.
Pristup
Pristup administrativnim sustavima ograničen je na određene vpn-ove i zaštićen 2 faktorskom autentifikacijom.
Certifikacija upravljanja sigurnošću informacija ISO/IEC 27001
Posjedujemo ISO certifikat koji možete vidjeti ovdje:
Komentari
0 komentara
Molimo Prijavite se kako bi ostavili komentar.