Безопасность

Информационная безопасность

Мы заботимся о наших клиентах и их комфорте при работе с Revizto. Мы создаем наш продукт таким, чтобы пользователи могли максимально сосредоточиться на своих рабочих задачах. Обо всем остальном позаботится наша команда. Безопасность ваших данных — один из наших главных приоритетов.

В нашей компании к вопросам информационной безопасности относятся очень серьезно, поэтому мы приняли на себя ряд обязательств по ответственной обработке данных в соответствии с действующими стандартами информационной безопасности и международным законодательством о защите конфиденциальности данных.

Безопасность приложений

Мы предъявляем высочайшие требования к обеспечению безопасности при разработке Revizto, внедряя необходимые меры контроля над безопасностью и регулярно проводя оценку рисков. Методология разработки программ построена на передовом опыте разработки систем и управления проектами.

В состав Revizto входят упреждающие средства защиты, которые блокируют угрозы для настольных/мобильных приложений и веб-инфраструктуры.

Мы придаем большое значение тестированию компонентов Revizto. Программа тестирования Revizto включает методы статического анализа кода на этапах разработки и тестирования. Среда, в которой ведется разработка, тестовая, промежуточная и сценическая среда изолированы друг от друга.

Для дополнительного контроля и улучшения процесса управления пользователями мы обеспечиваем аутентификацию пользователей через систему единого входа (SSO). В настоящее время мы поддерживаем (LDAP и OAuth (Google Workspace (ранее G Suite)) и работаем над внедрением SAML.

Обучение и осведомленность

Мы убеждены, что квалифицированный персонал является одной из ключевых составляющих обеспечения безопасности. Мы регулярно проводим обучение и аттестацию персонала. Программа обучения и повышения осведомленности является основным инструментом для доведения до наших сотрудников их обязанностей в соответствии с внутренними политиками и процедурами в области информационной безопасности.

Новые члены нашей команды проходят обучение по вопросам безопасности и подписывают соглашение о строгой конфиденциальности.

Компания тщательно проверяет анкетные данные перед приемом на работу. Разработчики проходят обучения по безопасному и эффективному применению всех аспектов методологии построения системы.

Контроль доступа

Мы реализуем механизмы контроля доступа на всех уровнях, разделяя нашу инфраструктуру по зонам, средам и сервисам. Мы реализовали строгий контроль доступа на следующих уровнях:

  • Физический доступ
  • Сетевой доступ
  • Доступ к инфраструктуре дата-центра
  • Доступ к операционной системе
  • Доступ к приложениям

Аутентификация происходит только с надежным паролем (в соответствии с Политикой паролей) посредством многофакторной аутентификации (везде, где применимо). Доступ ( в соответствии с административными обязанностями) к конфиденциальным коммерческим данным, приложениям и корпоративной сети предоставляется по принципу «по мере надобности». Наша команда постоянно контролирует доступ ко всем обрабатываемым данным и информационным системам и следит за соблюдением политик доступа.

«Физический доступ к нашим дата-центрам и офисным помещениям имеют только уполномоченные сотрудники.

Доступ к внутренней сети компании предоставляется через VPN. Контроль доступа к облачной инфраструктуре Revizto обеспечивается маршрутизацией виртуального частного облака (VPC) и зашифрованным соединением на базе сертификатов.»

Политика надёжности

Мы ценим и уважаем каждую минуту времени наших клиентов, поэтому мы следим за доступностью нашего приложения. Revizto размещен на AWS, что обеспечивает высокий уровень масштабируемости и отказоустойчивости. Данные приложений, пользовательские данные и резервные копии дублируются на нескольких ЦОД в различных регионах AWS. Персональные данные клиентов обрабатываются в соответствии с нашей Политикой конфиденциальности и в соответствии с международными нормами конфиденциальности данных.

Управление рисками

В основе программы информационной безопасности Компании лежат принципы управления рисками. Процесс управления рисками внедрен во все информационные системы и бизнес-процессы. Цели Компании в отношении управления рисками:

С целью выявления и приоритизации потенциальных угроз безопасности наша команда использует метод моделирования угроз для Revizto. Эта информация учитывается в процессе разработки приложения, а также на более поздних стадиях разработки. Все ключевые члены команды разработчиков вовлечены в объективный процесс моделирования угроз.

Антивирусная политика

В нашей компании реализована необходимая защита от «вредоносного кода» (компьютерных вирусов, вредоносных программ), целью которого является использование уязвимостей, снижение производительности вычислительной среды и/или получение конфиденциальных бизнес-данных, хранящихся на ноутбуках, рабочих станциях и серверах дата-центров

Политика сетевой безопасности

В процессе развертывания и обеспечения сетевой безопасности мы руководствуемся требованиями и рекомендациями передовых практик в области информационной безопасности и стандартами поставщиков. Мы регулярно проводим анализ сетевой инфраструктуры как в рамках нашего офиса, так и в AWS, и меняем конфигурацию в ответ на новые потенциальные угрозы и риски.

Контроль сетевой безопасности включает в себя различные меры защиты:

  • сегментация сети
  • межсетевые экраны с правилами конфигурирования
  • протоколы шифрования
  • и т.д.

Сетевая безопасность позволяет эффективно противостоять как «внутренним», так и «внешним» угрозам инфраструктуре приложений.

Управление уязвимостями/внесение исправлений

Мы постоянно собираем информацию об уязвимостях во всех системах, следим за обновлениями и исправлениями программного обеспечения, выпускаемыми вендорами. Управление уязвимостями/исправлениями осуществляется в 5 этапов:

  1. Руководство — обеспечение функционирования фреймворка управления уязвимостями/исправлениями.
  2. Покрытие — контроль и обеспечение соответствия компонентов системы политике управления уязвимостями / исправлениями.
  3. Контроль — использование автоматизированных и/или ручных средств для выявления уязвимостей/ патчей в конкретных компонентах корпоративной системы.
  4. Отчетность — выявление, сбор и распространение информации о выявленных уязвимостях/внесенных исправлениях в целях устранения возможных последствий в соответствии со стратегией и организационными задачами Компании.
  5. Обработка — исправление или усовершенствование систем с целью предотвращения, минимизации или смягчения неблагоприятного воздействия.

Управление инцидентами в сфере безопасности

Мы агрегируем логи из различных информационных систем и анализируем их с помощью платформы SIEM. Процессом управления инцидентами предусмотрены следующие внутренние политики и процедуры: мониторинг, анализ, классификация, реагирование, устранение последствий, отчетность, извлеченные уроки. Для повышения эффективности и оперативности реагирования на инциденты все ключевые сотрудники ведут внутреннюю отчетность об инцидентах.

В случае серьезной угрозы безопасности наша команда привлечет внешних экспертов для принятия ответных мер и проведения расследования. Если инцидент создает угрозу правам и свободам клиентов, наша команда предпримет все необходимые меры для смягчения последствий инцидента, а в случае если последствий избежать не удастся, немедленно проинформирует клиентов.

This site uses cookies to ensure we give you the best experience on our website. By continuing to browse this site, you agree to this use. Read more.
Accept
Безопасность - Revizto We care about our customers and their convenience when using Revizto. We make our product in such a way that the users focus as much as possible on the implementation of their workflows. Everything else will be taken care of by our team. In particular, we care about the security of your data. 2020-08-19
Revizto
World Trade Center Lausanne Avenue de Gratta-Paille 2 1018 Lausanne, Switzerland
+41 21 588 0125