
Безопасность
Информационная безопасность
Мы заботимся о наших клиентах и их комфорте при работе с Revizto. Мы создаем наш продукт таким, чтобы пользователи могли максимально сосредоточиться на своих рабочих задачах. Обо всем остальном позаботится наша команда. Безопасность ваших данных — один из наших главных приоритетов.
В нашей компании к вопросам информационной безопасности относятся очень серьезно, поэтому мы приняли на себя ряд обязательств по ответственной обработке данных в соответствии с действующими стандартами информационной безопасности и международным законодательством о защите конфиденциальности данных.
Безопасность приложений
Мы предъявляем высочайшие требования к обеспечению безопасности при разработке Revizto, внедряя необходимые меры контроля над безопасностью и регулярно проводя оценку рисков. Методология разработки программ построена на передовом опыте разработки систем и управления проектами.
В состав Revizto входят упреждающие средства защиты, которые блокируют угрозы для настольных/мобильных приложений и веб-инфраструктуры.
Мы придаем большое значение тестированию компонентов Revizto. Программа тестирования Revizto включает методы статического анализа кода на этапах разработки и тестирования. Среда, в которой ведется разработка, тестовая, промежуточная и сценическая среда изолированы друг от друга.
Для дополнительного контроля и улучшения процесса управления пользователями мы обеспечиваем аутентификацию пользователей через систему единого входа (SSO). В настоящее время мы поддерживаем (LDAP и OAuth (Google Workspace (ранее G Suite)) и работаем над внедрением SAML.
Обучение и осведомленность
Мы убеждены, что квалифицированный персонал является одной из ключевых составляющих обеспечения безопасности. Мы регулярно проводим обучение и аттестацию персонала. Программа обучения и повышения осведомленности является основным инструментом для доведения до наших сотрудников их обязанностей в соответствии с внутренними политиками и процедурами в области информационной безопасности.
Новые члены нашей команды проходят обучение по вопросам безопасности и подписывают соглашение о строгой конфиденциальности.
Компания тщательно проверяет анкетные данные перед приемом на работу. Разработчики проходят обучения по безопасному и эффективному применению всех аспектов методологии построения системы.
Контроль доступа
Мы реализуем механизмы контроля доступа на всех уровнях, разделяя нашу инфраструктуру по зонам, средам и сервисам. Мы реализовали строгий контроль доступа на следующих уровнях:
- Физический доступ
- Сетевой доступ
- Доступ к инфраструктуре дата-центра
- Доступ к операционной системе
- Доступ к приложениям
Аутентификация происходит только с надежным паролем (в соответствии с Политикой паролей) посредством многофакторной аутентификации (везде, где применимо). Доступ ( в соответствии с административными обязанностями) к конфиденциальным коммерческим данным, приложениям и корпоративной сети предоставляется по принципу «по мере надобности». Наша команда постоянно контролирует доступ ко всем обрабатываемым данным и информационным системам и следит за соблюдением политик доступа.
«Физический доступ к нашим дата-центрам и офисным помещениям имеют только уполномоченные сотрудники.
Доступ к внутренней сети компании предоставляется через VPN. Контроль доступа к облачной инфраструктуре Revizto обеспечивается маршрутизацией виртуального частного облака (VPC) и зашифрованным соединением на базе сертификатов.»
Политика надёжности
Мы ценим и уважаем каждую минуту времени наших клиентов, поэтому мы следим за доступностью нашего приложения. Revizto размещен на AWS, что обеспечивает высокий уровень масштабируемости и отказоустойчивости. Данные приложений, пользовательские данные и резервные копии дублируются на нескольких ЦОД в различных регионах AWS. Персональные данные клиентов обрабатываются в соответствии с нашей Политикой конфиденциальности и в соответствии с международными нормами конфиденциальности данных.
Управление рисками
В основе программы информационной безопасности Компании лежат принципы управления рисками. Процесс управления рисками внедрен во все информационные системы и бизнес-процессы. Цели Компании в отношении управления рисками:
С целью выявления и приоритизации потенциальных угроз безопасности наша команда использует метод моделирования угроз для Revizto. Эта информация учитывается в процессе разработки приложения, а также на более поздних стадиях разработки. Все ключевые члены команды разработчиков вовлечены в объективный процесс моделирования угроз.
Антивирусная политика
В нашей компании реализована необходимая защита от «вредоносного кода» (компьютерных вирусов, вредоносных программ), целью которого является использование уязвимостей, снижение производительности вычислительной среды и/или получение конфиденциальных бизнес-данных, хранящихся на ноутбуках, рабочих станциях и серверах дата-центров
Политика сетевой безопасности
В процессе развертывания и обеспечения сетевой безопасности мы руководствуемся требованиями и рекомендациями передовых практик в области информационной безопасности и стандартами поставщиков. Мы регулярно проводим анализ сетевой инфраструктуры как в рамках нашего офиса, так и в AWS, и меняем конфигурацию в ответ на новые потенциальные угрозы и риски.
Контроль сетевой безопасности включает в себя различные меры защиты:
- сегментация сети
- межсетевые экраны с правилами конфигурирования
- протоколы шифрования
- и т.д.
Сетевая безопасность позволяет эффективно противостоять как «внутренним», так и «внешним» угрозам инфраструктуре приложений.
Управление уязвимостями/внесение исправлений
Мы постоянно собираем информацию об уязвимостях во всех системах, следим за обновлениями и исправлениями программного обеспечения, выпускаемыми вендорами. Управление уязвимостями/исправлениями осуществляется в 5 этапов:
- Руководство — обеспечение функционирования фреймворка управления уязвимостями/исправлениями.
- Покрытие — контроль и обеспечение соответствия компонентов системы политике управления уязвимостями / исправлениями.
- Контроль — использование автоматизированных и/или ручных средств для выявления уязвимостей/ патчей в конкретных компонентах корпоративной системы.
- Отчетность — выявление, сбор и распространение информации о выявленных уязвимостях/внесенных исправлениях в целях устранения возможных последствий в соответствии со стратегией и организационными задачами Компании.
- Обработка — исправление или усовершенствование систем с целью предотвращения, минимизации или смягчения неблагоприятного воздействия.
Управление инцидентами в сфере безопасности
Мы агрегируем логи из различных информационных систем и анализируем их с помощью платформы SIEM. Процессом управления инцидентами предусмотрены следующие внутренние политики и процедуры: мониторинг, анализ, классификация, реагирование, устранение последствий, отчетность, извлеченные уроки. Для повышения эффективности и оперативности реагирования на инциденты все ключевые сотрудники ведут внутреннюю отчетность об инцидентах.
В случае серьезной угрозы безопасности наша команда привлечет внешних экспертов для принятия ответных мер и проведения расследования. Если инцидент создает угрозу правам и свободам клиентов, наша команда предпримет все необходимые меры для смягчения последствий инцидента, а в случае если последствий избежать не удастся, немедленно проинформирует клиентов.