Введение
В этом документе излагаются меры и усилия PlanRadar по обеспечению современных и высоких стандартов безопасности данных, конфиденциальности и доступности услуг для нашего программного обеспечения.
Инфраструктура / Хостинг
Технические документы AWS и Информация
Управление конфигурацией
Мы следуем принципам неизменяемой инфраструктуры и инфраструктуры как кода. В случае ошибки/сбоя систему можно перегенерировать на основе ее шаблонов и исходного кода. Мы используем Kubernetes и Argocd для управления нашей инфраструктурой.
Высокая доступность/масштабируемость
AWS позволяет нашей системе реагировать на резкие скачки нагрузки и автоматически выделяет больше ресурсов, если это необходимо. Наши клиенты не ощутят снижения производительности.
Защита от DDOS/веб-уязвимостей
Наше веб-приложение защищено системой веб-прокси cloudflare.
Разработка программного обеспечения
Выполнение
Наша система основана на современной, надежной и проверенной в боях технологии с открытым исходным кодом. Наше веб-приложение разработано с использованием Ruby on Rails с использованием последней версии, поддерживаемой исправлениями безопасности. Наши мобильные клиенты разработаны на Java, Objective-C и .NET.
Вся передача данных осуществляется через HTTPS/TLS, а при хранении данные шифруются. (В нашей реляционной базе данных и в нашем объектном хранилище). Все изображения, планы и ресурсы документов хранятся в надежной системе хранения Amazon S3.
ОВАСП
В нашей реализации мы следуем принципу безопасности по принципу проектирования.
ТДД
Все наши основные функции реализованы с использованием методологии разработки через тестирование.
Меры безопасности приложений
Приложение защищено несколькими прокси и балансировщиками нагрузки. У нас есть возможности многофакторной аутентификации, интегрированный вход в систему с помощью SAMl, настраиваемые политики паролей, ограничение попыток входа в систему, блокировка пользователей при неправильных попытках входа в систему и подробная настройка разрешений пользователей.
Процессы
Сотрудники
Все наши сотрудники, особенно сотрудники службы поддержки и разработки, осведомлены о конфиденциальности/безопасности данных и проходят обучение и СОП для ответственного обращения с данными наших клиентов. Все сотрудники получают только минимально необходимый доступ к нашим ИТ-системам. Данные о клиентах доступны только избранным сотрудникам.
Управление происшествиями
Информация об инцидентах, связанных с безопасностью и конфиденциальностью, собирается в каждой точке контакта и затем направляется в ответственное организационное подразделение. Наши системы регистрации обнаруживают аномалии в использовании системы и при необходимости отправляют автоматические сигналы тревоги. Мы написали процедуры аварийного восстановления и восстановления из резервных копий.
Доступ
Доступ к административным системам ограничен определенными VPN и защищен двухфакторной аутентификацией.
Сертификация управления информационной безопасностью ISO/IEC 27001
Мы имеем сертификат ISO, который можно увидеть здесь:
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.