Кәсіпорын деңгейіндегі қауіпсіздік

Сіздің деректеріңіздің қауіпсіздігі біздің басты басымдығымыз. Біздің толық қауіпсіздік шаралары, сәйкестік стандарттары және құпия ақпаратыңызды қалай қорғайтынымыз туралы біліңіз.

AES-256 шифрлау

Тыныштықтағы және тасымалданатын барлық деректер үшін әскери деңгейдегі шифрлау

SOC 2 сәйкестігі

Аудиттелген қауіпсіздік бақылаулары және сәйкестік стандарттары

99.9% жұмыс уақыты SLA

Автоматты ауыстыру және сақтық көшірмелері бар сенімді инфрақұрылым

Деректерді шифрлау

Әскери деңгейдегі шифрлау сіздің деректеріңізді әр деңгейде қорғайды

Тыныштықтағы шифрлау

  • AES-256 шифрлау: Біздің дерекқорларда сақталған барлық деректер 256-биттік кілттері бар Advanced Encryption Standard көмегімен шифрланады
  • Дерекқорды шифрлау: Firebase Firestore барлық сақталған деректер үшін тыныштықта автоматты шифрлауды қамтамасыз етеді
  • Биометриялық деректер: Саусақ ізі деректері SHA-256 көмегімен хэшталады және шифрланған форматта сақталады, бұл кері инженерияны мүмкін емес етеді
  • Сақтық көшірмелерді шифрлау: Барлық сақтық көшірмелер бірдей AES-256 стандартымен шифрланады
  • File Storage: Any uploaded files (reports, documents) are encrypted before storage

Тасымалдау кезіндегі шифрлау

  • TLS 1.3: Браузеріңіз бен серверлеріміз арасында тасымалданатын барлық деректер Transport Layer Security 1.3 пайдаланады
  • Барлық жерде HTTPS: Біздің бүкіл платформамыз HSTS қосылған HTTPS арқылы жұмыс істейді
  • API қауіпсіздігі: Барлық API қоңыраулары шифрланады және қауіпсіз токендер көмегімен аутентификацияланады
  • Certificate Pinning: Our mobile apps use certificate pinning to prevent man-in-the-middle attacks

Кілттерді басқару

  • Google Cloud KMS: Шифрлау кілттері Google Cloud Key Management Service арқылы басқарылады
  • Кілттерді ротациялау: Шифрлау кілттері әр 90 күн сайын автоматты түрде ротацияланады
  • Қол жеткізуді бақылау: Тек авторизацияланған жүйелер шифрлау кілттеріне қол жеткізе алады, толық аудит журналымен
  • Hardware Security Modules (HSM): Keys are stored in FIPS 140-2 Level 3 certified HSMs

Аутентификация және қол жеткізуді бақылау

Аккаунтқа қол жеткізуді қорғау үшін көп қабатты қауіпсіздік

Екі факторлы аутентификация (2FA)

  • TOTP қолдауы: Google Authenticator, Authy немесе ұқсас қосымшалар арқылы уақытқа негізделген бір реттік құпия сөздер
  • Email 2FA: Электрондық пошта арқылы верификация кодтары бар балама 2FA
  • Міндетті 2FA: Ұйымдар барлық пайдаланушылар үшін 2FA-ны мәжбүрлей алады
  • Сақтық көшірме кодтары: Аутентификатор құрылғысы жоғалған жағдайда қалпына келтіру кодтары беріледі

Құпия сөз қауіпсіздігі

  • Bcrypt хэштеу: Барлық құпия сөздер тұзы бар bcrypt көмегімен хэшталады
  • Құпия сөз саясаттары: Ең кемі 8 таңба, күрделілік талаптары орындалады
  • Бұзу анықтау: Құпия сөздер белгілі бұзу дерекқорларымен (Have I Been Pwned) тексеріледі
  • Жылдамдықты шектеу: Қатты күш шабуылдарын болдырмау үшін сәтсіз кіру әрекеттері шектеледі
  • Session Management: Automatic logout after inactivity, configurable timeout periods

Рөлге негізделген қол жеткізуді бақылау (RBAC)

  • Дәл рұқсаттар: Әртүрлі пайдаланушы рөлдері үшін нақты қол жеткізу бақылаулары (Админ, Менеджер, Қызметкер)
  • Ең аз артықшылық принципі: Пайдаланушылар тек рөліне қажетті деректерге қол жеткізе алады
  • Ұйымдық оқшаулау: Көп арендалы архитектура ұйымдар арасында толық деректер оқшаулауын қамтамасыз етеді
  • Audit Logs: All access and permission changes are logged and monitored

Firebase аутентификациясы

  • Салалық стандарт: Google-дің Firebase Authentication платформасымен жұмыс істейді
  • OAuth 2.0: OAuth 2.0 бар әлеуметтік кіру провайдерлерін (Google, Microsoft) қолдау
  • Email верификациясы: Барлық жаңа аккаунттар үшін міндетті email верификациясы
  • Аккаунтты қалпына келтіру: Уақыты шектелген токендермен email арқылы қауіпсіз құпия сөзді қалпына келтіру

Инфрақұрылым қауіпсіздігі

Жаһандық резервтеу бар кәсіпорын деңгейіндегі бұлтты инфрақұрылым

Бұлтты инфрақұрылым

  • Google Cloud Platform: ISO 27001, SOC 2 және SOC 3 сертификаттары бар Google Cloud-та орналастырылған
  • Көп аймақты орналастыру: Резервтеу үшін деректер бірнеше географиялық аймақтарда көшірілген
  • DDoS қорғау: Google Cloud Armor автоматты DDoS жеңілдетуін қамтамасыз етеді
  • DDoS Protection: Google Cloud Armor provides automatic DDoS mitigation
  • Network Isolation: Private VPC networks with firewall rules and network segmentation

Қол жетімділік және сенімділік

  • 99.9% жұмыс уақыты SLA: Тоқтап қалу үшін қаржылық кредиттермен кепілдендірілген қызмет қол жетімділігі
  • Автоматты ауыстыру: Резервтік жүйелер сәтсіздік жағдайында автоматты түрде басқаруды алады
  • Денсаулықты бақылау: Лезде ескертумен тәулік бойы автоматтандырылған бақылау
  • Health Monitoring: 24/7 automated monitoring with instant alerting
  • Incident Response: Dedicated team responds to incidents within 15 minutes

Сақтық көшірме және апаттан қалпына келтіру

  • Үздіксіз сақтық көшірмелер: Firebase автоматты, үздіксіз деректер сақтық көшірмелерін қамтамасыз етеді
  • Уақыт нүктесіне қалпына келтіру: Соңғы 35 күн ішінде кез келген нүктеге деректерді қалпына келтіру
  • Географиялық резервтеу: Сақтық көшірмелер бірнеше географиялық орындарда сақталады
  • Disaster Recovery Plan: Comprehensive DR plan with Recovery Time Objective (RTO) of 4 hours
  • Backup Testing: Regular backup restoration tests to ensure data integrity

Физикалық қауіпсіздік

  • Google деректер орталықтары: Тәулік бойы қауіпсіздік персоналы бар заманауи нысандар
  • Биометриялық қол жеткізу: Деректер орталығына қол жеткізу биометриялық аутентификациямен бақыланады
  • Бейне бақылау: Бейне жазумен үздіксіз мониторинг
  • Қоршаған орта бақылауы: Өрт сөндіру, климатты бақылау және қуат резервтеу

Қосымша қауіпсіздігі

Қауіпсіз кодтау тәжірибелері және осалдықтарды басқару

Қауіпсіз әзірлеу

  • Қауіпсіз SDLC: Қауіпсіздік бағдарламалық жасақтаманы әзірлеу өмірлік циклінің әр кезеңіне біріктірілген
  • Код қарау: Барлық код өзгерістері орналастыру алдында бірнеше әзірлеуші тарапынан қаралады
  • Статикалық талдау: Қауіпсіздік осалдықтары үшін автоматтандырылған код сканерлеу (SAST)
  • Тәуелділіктерді сканерлеу: Үшінші тарап кітапханалары белгілі осалдықтарға тексеріледі
  • Қауіпсіздік оқытуы: Барлық әзірлеу тобы мүшелері үшін тұрақты қауіпсіздік оқытуы

Осалдықтарды басқару

  • Енуді тестілеу: Сертификатталған қауіпсіздік фирмаларының жыл сайынғы үшінші тарап енуді тестілеуі
  • Bug Bounty бағдарламасы: Қауіпсіздік зерттеушілері үшін сыйақылары бар жауапкершілікпен ашу бағдарламасы
  • Осалдықтарды сканерлеу: Қауіпсіздік осалдықтары үшін апта сайынғы автоматтандырылған сканерлеу
  • Патч басқару: Маңызды қауіпсіздік патчтары 24 сағат ішінде орналастырылады
  • CVE мониторингі: Жалпы осалдықтар мен экспозицияларды үздіксіз бақылау

OWASP Top 10 қорғау

  • SQL инъекциясы: Параметрленген сұраулар және ORM SQL инъекция шабуылдарын болдырмайды
  • XSS алдын алу: Кіріс санитизациясы және Content Security Policy (CSP) тақырыптары
  • CSRF қорғау: Барлық күйді өзгерту операцияларында CSRF қарсы токендер
  • Аутентификация кемшіліктері: Firebase Auth арқылы салалық стандартты аутентификация
  • Қауіпсіздік конфигурациясының қателері: Автоматтандырылған конфигурация тексерулері және қатайту
  • Құпия деректердің ашылуы: Барлық құпия деректердің шифрлауы және қауіпсіз сақталуы

API қауіпсіздігі

  • JWT токендері: Жарамдылық мерзімі бар JSON Web Tokens арқылы API аутентификациясы
  • Жылдамдықты шектеу: API жылдамдық шектеулері теріс пайдалану мен DDoS шабуылдарын болдырмайды
  • Кіріс валидациясы: Барлық API кірістері валидацияланады және санитизацияланады
  • OAuth 2.0: OAuth 2.0 хаттамасымен қауіпсіз үшінші тарап API қол жеткізуі

Сәйкестік және сертификаттар

Жаһандық қауіпсіздік және құпиялылық стандарттарына сай болу

SOC 2 Type II

Тәуелсіз үшінші тарап аудиторлары арқылы біздің қауіпсіздік, қол жетімділік және құпиялылық бақылауларымыздың жыл сайынғы аудиттері.

GDPR сәйкестігі

Деректер субъектісінің құқықтары мен бұзу туралы хабарлауды қоса алғанда, ЕО Жалпы деректерді қорғау ережесіне толық сәйкестік.

CCPA сәйкестігі

Толық құпиялылық бақылаулары бар АҚШ-та орналасқан клиенттер үшін Калифорния тұтынушыларының құпиялылығы туралы заңына сәйкестік.

ISO 27001 (GCP)

Біздің инфрақұрылым провайдеріміз (Google Cloud) ақпараттық қауіпсіздікті басқару үшін ISO 27001 сертификатын сақтайды.

PCI DSS

PCI DSS Level 1 сәйкес төлем процессорлары арқылы төлемдерді өңдеу. Біз ешқашан несие карта деректерін сақтамаймыз.

HIPAA дайын

Инфрақұрылым денсаулық сақтау ұйымдары үшін HIPAA сәйкестік талаптарын қолдайды (BAA сұраныс бойынша қол жетімді).

Құпиялылық және деректерді қорғау

Мөлдір деректер тәжірибелері және пайдаланушы құпиялылығын бақылау

Деректерді минимизациялау

  • Біз тек қызмет функционалдығы үшін қажетті деректерді жинаймыз
  • Маркетингтік мақсаттар үшін бақылау cookie файлдары жоқ
  • Биометриялық деректер хэшталған, кері инженерия мүмкін емес форматта сақталады
  • Қосымша мүмкіндіктер белгілі бір деректерді жинауды өшіруге мүмкіндік береді

Пайдаланушы құқықтары

  • Қол жеткізу құқығы: Барлық деректеріңізді стандартты форматтарда (CSV, JSON, Excel) экспорттау
  • Жою құқығы: Деректеріңіздің тұрақты жойылуын сұрау
  • Түзету құқығы: Дұрыс емес немесе толық емес деректерді түзету
  • Тасымалдау құқығы: Деректерді басқа қызмет провайдеріне тасымалдау
  • Қарсылық құқығы: Маркетингтік коммуникациялар мен талдаудан бас тарту

Деректерді өңдеу келісімдері

  • Стандартты шарттық тармақтар: Халықаралық деректер тасымалдауы үшін ЕО мақұлдаған SCC
  • GDPR сәйкестігі: GDPR 28-бабының процессор міндеттемелеріне толық сәйкестік
  • Қосалқы процессор мөлдірлігі: Өзгерістер туралы хабарландырумен барлық қосалқы процессорлардың жария тізімі
  • Деректер бұзушылығы туралы хабарлау: Кез келген деректер бұзушылығы туралы 72 сағат ішінде хабарлау

Қауіпсіздік мониторингі және оқиғаларға жауап беру

Тәулік бойы мониторинг және жылдам оқиғаларға жауап беру

Үздіксіз мониторинг

  • Тәулік бойы мониторинг: Инфрақұрылым мен қосымшаларды тәулік бойы бақылау
  • SIEM интеграциясы: Қауіпті анықтау үшін қауіпсіздік ақпараты және оқиғаларды басқару
  • Аномалияны анықтау: Әдеттен тыс әрекетті анықтау үшін машиналық оқыту негізіндегі анықтау
  • Нақты уақыттағы ескертулер: Қауіпсіздік оқиғалары үшін лезде хабарландырулар
  • Журнал агрегациясы: Криминалистикалық талдау үшін сақтаумен орталықтандырылған журналдау

Оқиғаларға жауап беру

  • Арнайы топ: Қауіпсіздік оқиғаларына жауап беру тобы тәулік бойы қол жетімді
  • Жауап беру уақыты: Маңызды оқиға анықталғаннан кейін 15 минут ішінде бастапқы жауап
  • Коммуникация: Оқиғалар кезінде зардап шеккен клиенттермен мөлдір байланыс
  • Оқиғадан кейінгі шолу: Оқиғалардан кейін егжей-тегжейлі талдау және түзету әрекеттері
  • Реттеуші хабарлау: Бұзушылық туралы хабарлау талаптарына сәйкестік (GDPR, CCPA)

Аудит журналдау

  • Толық журналдар: Барлық пайдаланушы әрекеттері, жүйелік оқиғалар және қауіпсіздік оқиғалары журналға жазылады
  • Өзгертуге қарсы журналдар: Журналдарды өзгерту немесе жою мүмкін емес, бұл аудит ізінің тұтастығын қамтамасыз етеді
  • Журнал сақтау: Қауіпсіздік журналдары сәйкестік және криминалистика үшін 2 жыл сақталады
  • Пайдаланушы әрекеті: Клиенттер ұйымдық әрекеттерінің аудит журналдарын көре алады

Қызметкерлердің қол жеткізуі және оқытуы

Клиент деректеріне қызметкерлердің қол жеткізуін қатаң бақылау

Қол жеткізуді бақылау

  • Ең аз артықшылық: Қызметкерлер тек жұмыс функциясына қажетті деректерге қол жеткізе алады
  • Өтініш тексеру: Барлық қызметкерлер жұмысқа қабылдау алдында өтініш тексеруден өтеді
  • NDA және құпиялылық: Барлық қызметкерлер құпиялылық туралы келісімге қол қояды
  • Қол жеткізуді қарау: Қызметкерлердің қол жеткізу рұқсаттарын тоқсан сайынғы қарау
  • Дереу қайтарып алу: Жұмыстан босатылған кезде қол жеткізу дереу қайтарып алынады

Қауіпсіздік оқытуы

  • Бастапқы оқыту: Барлық жаңа қызметкерлер үшін міндетті қауіпсіздік оқытуы
  • Жыл сайынғы оқыту: Жаңартылған қауіптермен жыл сайынғы қауіпсіздік хабардарлығы оқытуы
  • Фишинг симуляциялары: Қырағылықты сақтау үшін тұрақты фишинг тестілері
  • Оқиғаларға жауап беру жаттығулары: Тоқсан сайынғы қауіпсіздік оқиғаларына жауап беру жаттығулары
  • Сәйкестік оқытуы: GDPR, SOC 2 және деректерді қорғау оқытуы

Клиент деректеріне қол жеткізу

  • Әдепкі қол жеткізу жоқ: Қызметкерлер әдепкі бойынша клиент деректеріне қол жеткізе алмайды
  • Қолдау қол жеткізуі: Клиенттерді қолдау тек анық рұқсатпен деректерге қол жеткізе алады
  • Аудит ізі: Клиент деректеріне қызметкерлердің барлық қол жеткізуі журналға жазылады және бақыланады
  • Деректерді анонимдеу: Инженерлер жөндеу үшін анонимделген деректермен жұмыс істейді

Клиенттер үшін қауіпсіздіктің ең жақсы тәжірибелері

Аккаунтыңыздың қауіпсіздігін арттыру үшін келесі тәжірибелерді ұсынамыз:

  • Барлық пайдаланушылар үшін екі факторлы аутентификацияны (2FA) қосыңыз
  • Күшті, бірегей құпия сөздерді пайдаланыңыз (ең кемі 12 таңба)
  • Пайдаланушы қол жеткізу рұқсаттарын үнемі қарап шығыңыз және қажетсіз қол жеткізуді алып тастаңыз
  • Қызметкерлерді фишинг туралы хабардар болуға және әлеуметтік инженерияға үйретіңіз
  • Деректеріңізді үнемі экспорттап, сақтық көшірме жасаңыз
  • Күдікті әрекеттер үшін аудит журналдарын бақылаңыз
  • Monitor audit logs for suspicious activity
  • Report any security concerns immediately to [email protected]

Жауапкершілікпен ашу бағдарламасы

Біз қауіпсіздік қауымдастығын бағалаймыз және қауіпсіздік осалдықтары туралы есептерді қабылдаймыз.

Қауіпсіздік электрондық поштасы: [email protected]

PGP кілті: Шифрланған байланыс үшін сұраныс бойынша қол жетімді

Жауап беру уақыты: Біз есептерді 24 сағат ішінде растаймыз

Bug Bounty: Біліктілік осалдықтар үшін сыйақылар бар

Нұсқаулықтар

  • Авторизациясыз клиент деректеріне қол жеткізбеңіз немесе өзгертпеңіз
  • Қызмет көрсетуден бас тарту шабуылдарын немесе бұзушы тестілеуді орындамаңыз
  • Жария ашу алдында мәселені шешуге бізге негізді уақыт беріңіз
  • Егжей-тегжейлі қайта жасау қадамдары мен әсер бағалауын беріңіз
  • Біз адал әрекет ететін зерттеушілерге қарсы заңды шаралар қолданбаймыз

Қауіпсіздік туралы сұрақтарыңыз бар ма?

Біздің қауіпсіздік тобы сұрақтарыңызға жауап беруге дайын

Қауіпсіздік тобымен байланысу Құпиялылық саясатын көру