Безопасность

Мы заботимся о наших клиентах и их комфорте при работе с Revizto. Мы создаем наш продукт таким, чтобы пользователи могли максимально сосредоточиться на своих рабочих задачах. Обо всем остальном позаботится наша команда. Безопасность ваших данных — один из наших главных приоритетов.

В нашей компании к вопросам информационной безопасности относятся очень серьезно, поэтому мы приняли на себя ряд обязательств по ответственной обработке данных в соответствии с действующими стандартами информационной безопасности и международным законодательством о защите конфиденциальности данных.

Мы предъявляем высочайшие требования к обеспечению безопасности при разработке Revizto, внедряя необходимые меры контроля над безопасностью и регулярно проводя оценку рисков. Методология разработки программ построена на передовом опыте разработки систем и управления проектами.

В состав Revizto входят упреждающие средства защиты, которые блокируют угрозы для настольных/мобильных приложений и веб-инфраструктуры.

Мы придаем большое значение тестированию компонентов Revizto. Программа тестирования Revizto включает методы статического анализа кода на этапах разработки и тестирования. Среда, в которой ведется разработка, тестовая, промежуточная и сценическая среда изолированы друг от друга.

Мы убеждены, что квалифицированный персонал является одной из ключевых составляющих обеспечения безопасности. Мы регулярно проводим обучение и аттестацию персонала. Программа обучения и повышения осведомленности является основным инструментом для доведения до наших сотрудников их обязанностей в соответствии с внутренними политиками и процедурами в области информационной безопасности.

Новые члены нашей команды проходят обучение по вопросам безопасности и подписывают соглашение о строгой конфиденциальности.

Компания тщательно проверяет анкетные данные перед приемом на работу. Разработчики проходят обучения по безопасному и эффективному применению всех аспектов методологии построения системы.

Мы реализуем механизмы контроля доступа на всех уровнях, разделяя нашу инфраструктуру по зонам, средам и сервисам. Мы реализовали строгий контроль доступа на следующих уровнях:

• Физический доступ
• Сетевой доступ
• Доступ к инфраструктуре дата-центра
• Доступ к операционной системе
• Доступ к приложениям

Аутентификация происходит только с надежным паролем (в соответствии с Политикой паролей) посредством многофакторной аутентификации (везде, где применимо). Доступ ( в соответствии с административными обязанностями) к конфиденциальным коммерческим данным, приложениям и корпоративной сети предоставляется по принципу «по мере надобности». Наша команда постоянно контролирует доступ ко всем обрабатываемым данным и информационным системам и следит за соблюдением политик доступа.

«Физический доступ к нашим дата-центрам и офисным помещениям имеют только уполномоченные сотрудники.

Доступ к внутренней сети компании предоставляется через VPN. Контроль доступа к облачной инфраструктуре Revizto обеспечивается маршрутизацией виртуального частного облака (VPC) и зашифрованным соединением на базе сертификатов.»

Мы ценим и уважаем каждую минуту времени наших клиентов, поэтому мы следим за доступностью нашего приложения. Revizto размещен на AWS, что обеспечивает высокий уровень масштабируемости и отказоустойчивости. Данные приложений, пользовательские данные и резервные копии дублируются на нескольких ЦОД в различных регионах AWS. Персональные данные клиентов обрабатываются в соответствии с нашей Политикой конфиденциальности и в соответствии с международными нормами конфиденциальности данных.

В основе программы информационной безопасности Компании лежат принципы управления рисками. Процесс управления рисками внедрен во все информационные системы и бизнес-процессы. Цели Компании в отношении управления рисками:

С целью выявления и приоритизации потенциальных угроз безопасности наша команда использует метод моделирования угроз для Revizto. Эта информация учитывается в процессе разработки приложения, а также на более поздних стадиях разработки. Все ключевые члены команды разработчиков вовлечены в объективный процесс моделирования угроз.

В нашей компании реализована необходимая защита от «вредоносного кода» (компьютерных вирусов, вредоносных программ), целью которого является использование уязвимостей, снижение производительности вычислительной среды и/или получение конфиденциальных бизнес-данных, хранящихся на ноутбуках, рабочих станциях и серверах дата-центров

В процессе развертывания и обеспечения сетевой безопасности мы руководствуемся требованиями и рекомендациями передовых практик в области информационной безопасности и стандартами поставщиков. Мы регулярно проводим анализ сетевой инфраструктуры как в рамках нашего офиса, так и в AWS, и меняем конфигурацию в ответ на новые потенциальные угрозы и риски.

Контроль сетевой безопасности включает в себя различные меры защиты:

• сегментация сети
• межсетевые экраны с правилами конфигурирования
• протоколы шифрования
• и т.д.

Сетевая безопасность позволяет эффективно противостоять как «внутренним», так и «внешним» угрозам инфраструктуре приложений.

Мы постоянно собираем информацию об уязвимостях во всех системах, следим за обновлениями и исправлениями программного обеспечения, выпускаемыми вендорами. Управление уязвимостями/исправлениями осуществляется в 5 этапов:

1. Руководство — обеспечение функционирования фреймворка управления уязвимостями/исправлениями.
2. Покрытие — контроль и обеспечение соответствия компонентов системы политике управления уязвимостями / исправлениями.
3. Контроль — использование автоматизированных и/или ручных средств для выявления уязвимостей/ патчей в конкретных компонентах корпоративной системы.
4. Отчетность — выявление, сбор и распространение информации о выявленных уязвимостях/внесенных исправлениях в целях устранения возможных последствий в соответствии со стратегией и организационными задачами Компании.
5. Обработка — исправление или усовершенствование систем с целью предотвращения, минимизации или смягчения неблагоприятного воздействия.

Мы агрегируем логи из различных информационных систем и анализируем их с помощью платформы SIEM. Процессом управления инцидентами предусмотрены следующие внутренние политики и процедуры: мониторинг, анализ, классификация, реагирование, устранение последствий, отчетность, извлеченные уроки. Для повышения эффективности и оперативности реагирования на инциденты все ключевые сотрудники ведут внутреннюю отчетность об инцидентах.

В случае серьезной угрозы безопасности наша команда привлечет внешних экспертов для принятия ответных мер и проведения расследования. Если инцидент создает угрозу правам и свободам клиентов, наша команда предпримет все необходимые меры для смягчения последствий инцидента, а в случае если последствий избежать не удастся, немедленно проинформирует клиентов.