Wstęp
W niniejszym dokumencie przedstawiono środki i wysiłki PlanRadar mające na celu zapewnienie nowoczesnych i wysokich standardów bezpieczeństwa danych, prywatności i dostępności usług dla naszego oprogramowania.
Infrastruktura / Hosting
Oficjalne dokumenty AWS i amp; Informacja
Zarządzanie konfiguracją
Kierujemy się zasadami infrastruktury niezmiennej i infrastruktury jako kodu. W przypadku błędu/awarii system można zregenerować w oparciu o jego szablony i kod źródłowy. Do zarządzania naszą infrastrukturą używamy Kubernetes i Argocd.
Wysoka dostępność/skalowalność
AWS sprawia, że nasz system reaguje na duże skoki obciążenia i automatycznie udostępnia więcej zasobów, jeśli zajdzie taka potrzeba. Nasi klienci nie odczują wpływu na wydajność.
Ochrona przed atakami DDOS / sieci Web
Nasza aplikacja internetowa jest chroniona i chroniona za pomocą internetowego systemu proxy cloudflare.
Rozwój oprogramowania
Realizacja
Nasz system opiera się na nowoczesnej, solidnej i sprawdzonej w boju technologii open source. Nasza aplikacja internetowa została opracowana przy użyciu Ruby on Rails przy użyciu aktualnej wersji obsługującej poprawki zabezpieczeń. Nasi klienci mobilni są opracowywani w językach Java, Objective-C i .NET.
Cały transfer danych odbywa się za pośrednictwem protokołu HTTPS/TLS, a dane są szyfrowane w stanie spoczynku. (W naszej relacyjnej bazie danych i w naszej pamięci obiektowej). Wszystkie obrazy, plany i zasoby dokumentów są przechowywane w bardzo trwałymsystemie przechowywania Amazon S3.
OWASP
W naszym wdrożeniu kierujemy się zasadą bezpieczeństwa od samego początku.
TDD
Cała nasza podstawowa funkcjonalność jest wdrażana zgodnie z metodologią programowania opartego na testach.
Środki bezpieczeństwa aplikacji
Aplikacja jest chroniona przez wiele serwerów proxy i modułów równoważenia obciążenia. Mamy możliwości federacyjnego logowania z uwierzytelnianiem wieloskładnikowym za pomocą SAML, niestandardowych zasad haseł, ograniczonych prób logowania, blokowania użytkowników w przypadku błędnych prób logowania oraz szczegółowej konfiguracji uprawnień użytkownika.
Procesy
Pracownicy
Wszyscy nasi pracownicy, ale zwłaszcza dział wsparcia i inżynierii, są świadomi prywatności/bezpieczeństwa danych i przechodzą szkolenia oraz SOP dotyczące odpowiedzialnego traktowania danych naszych klientów. Wszyscy pracownicy uzyskują jedynie niezbędny minimalny dostęp do naszych systemów informatycznych. Dostęp do danych klientów mają wyłącznie wybrani pracownicy.
Zarządzanie incydentami
Zdarzenia związane z bezpieczeństwem i prywatnością są gromadzone w każdym punkcie kontaktowym, a następnie kierowane do odpowiedzialnej jednostki organizacyjnej. Nasze systemy logowania wykrywają anomalie w użytkowaniu systemu i w razie potrzeby wysyłają automatyczne alarmy. Mamy napisane procedury odzyskiwania po awarii i przywracania kopii zapasowych.
Dostęp
Dostęp do systemów administracyjnych jest ograniczony do niektórych VPN i chroniony uwierzytelnianiem dwuskładnikowym.
Certyfikat zarządzania bezpieczeństwem informacji ISO/IEC 27001
Posiadamy certyfikat ISO, który można zobaczyć tutaj:
Komentarze
Komentarze: 0
Zaloguj się, aby dodać komentarz.