Безпека корпоративного рівня

Безпека ваших даних є нашим головним пріоритетом. Дізнайтеся про наші комплексні заходи безпеки, стандарти відповідності та те, як ми захищаємо вашу конфіденційну інформацію.

Шифрування AES-256

Військове шифрування для всіх даних у спокої та під час передачі

Відповідність SOC 2

Перевірені засоби безпеки та стандарти відповідності

99.9% SLA доступності

Надійна інфраструктура з автоматичним переключенням та резервними копіями

Шифрування даних

Військове шифрування захищає ваші дані на кожному рівні

Шифрування у спокої

  • Шифрування AES-256: Всі дані, що зберігаються в наших базах даних, зашифровані за допомогою Advanced Encryption Standard з 256-бітними ключами
  • Шифрування бази даних: Firebase Firestore забезпечує автоматичне шифрування у спокої для всіх збережених даних
  • Біометричні дані: Дані відбитків пальців хешуються за допомогою SHA-256 і зберігаються в зашифрованому форматі, що унеможливлює зворотну розробку
  • Шифрування резервних копій: Всі резервні копії зашифровані тим самим стандартом AES-256
  • Зберігання файлів: Будь-які завантажені файли (звіти, документи) шифруються перед зберіганням

Шифрування під час передачі

  • TLS 1.3: Всі дані, що передаються між вашим браузером і нашими серверами, використовують Transport Layer Security 1.3
  • HTTPS скрізь: Вся наша платформа працює через HTTPS з увімкненим HSTS
  • Безпека API: Всі виклики API зашифровані та автентифіковані за допомогою безпечних токенів
  • Закріплення сертифікатів: Наші мобільні додатки використовують закріплення сертифікатів для запобігання атак типу man-in-the-middle

Управління ключами

  • Google Cloud KMS: Ключі шифрування керуються службою Google Cloud Key Management Service
  • Ротація ключів: Ключі шифрування автоматично змінюються кожні 90 днів
  • Контроль доступу: Тільки авторизовані системи можуть отримати доступ до ключів шифрування з повним журналюванням аудиту
  • Апаратні модулі безпеки (HSM): Ключі зберігаються в HSM, сертифікованих FIPS 140-2 Level 3

Автентифікація та контроль доступу

Багаторівнева безпека для захисту доступу до облікового запису

Двофакторна автентифікація (2FA)

  • Підтримка TOTP: Одноразові паролі на основі часу через Google Authenticator, Authy або подібні програми
  • Email 2FA: Альтернативна 2FA через коди підтвердження електронною поштою
  • Обов'язкова 2FA: Організації можуть застосувати 2FA для всіх користувачів
  • Резервні коди: Коди відновлення надаються у разі втрати пристрою автентифікації

Безпека паролів

  • Хешування Bcrypt: Всі паролі хешуються за допомогою bcrypt з сіллю
  • Політики паролів: Мінімум 8 символів, застосовуються вимоги до складності
  • Виявлення порушень: Паролі перевіряються на відповідність відомим базам даних порушень (Have I Been Pwned)
  • Обмеження швидкості: Невдалі спроби входу обмежуються для запобігання атак грубої сили
  • Управління сесіями: Автоматичний вихід після неактивності, налаштовувані періоди тайм-ауту

Рольовий контроль доступу (RBAC)

  • Деталізовані дозволи: Детальний контроль доступу для різних ролей користувачів (адміністратор, менеджер, співробітник)
  • Принцип найменших привілеїв: Користувачі мають доступ тільки до даних, необхідних для їхньої ролі
  • Ізоляція організацій: Багатоорендна архітектура забезпечує повну ізоляцію даних між організаціями
  • Журнали аудиту: Всі зміни доступу та дозволів реєструються та контролюються

Автентифікація Firebase

  • Галузевий стандарт: Працює на платформі Google Firebase Authentication
  • OAuth 2.0: Підтримка постачальників соціального входу (Google, Microsoft) з OAuth 2.0
  • Підтвердження електронної пошти: Обов'язкове підтвердження електронної пошти для всіх нових облікових записів
  • Відновлення облікового запису: Безпечне скидання пароля через електронну пошту з обмеженими за часом токенами

Безпека інфраструктури

Хмарна інфраструктура корпоративного рівня з глобальною надмірністю

Хмарна інфраструктура

  • Google Cloud Platform: Розміщено на Google Cloud з сертифікатами ISO 27001, SOC 2 та SOC 3
  • Розгортання в декількох регіонах: Дані реплікуються в декількох географічних регіонах для надмірності
  • Автомасштабування: Інфраструктура автоматично масштабується для обробки сплесків трафіку
  • Захист від DDoS: Google Cloud Armor забезпечує автоматичне пом'якшення DDoS
  • Ізоляція мережі: Приватні мережі VPC з правилами брандмауера та сегментацією мережі

Доступність та надійність

  • 99.9% SLA доступності: Гарантована доступність послуг з фінансовими кредитами за час простою
  • Автоматичне переключення: Резервні системи автоматично беруть на себе управління у разі збою
  • Балансування навантаження: Трафік розподіляється між декількома серверами для оптимальної продуктивності
  • Моніторинг справності: Автоматизований моніторинг 24/7 з миттєвими сповіщеннями
  • Реагування на інциденти: Спеціалізована команда реагує на інциденти протягом 15 хвилин

Резервне копіювання та відновлення після аварій

  • Безперервні резервні копії: Firebase забезпечує автоматичні, безперервні резервні копії даних
  • Відновлення до певного моменту часу: Відновлення даних до будь-якого моменту за останні 35 днів
  • Географічна надмірність: Резервні копії зберігаються в декількох географічних місцях
  • План відновлення після аварій: Комплексний план DR з цільовим часом відновлення (RTO) 4 години
  • Тестування резервних копій: Регулярні тести відновлення резервних копій для забезпечення цілісності даних

Фізична безпека

  • Дата-центри Google: Сучасні об'єкти з персоналом безпеки 24/7
  • Біометричний доступ: Доступ до дата-центру контролюється біометричною автентифікацією
  • Відеоспостереження: Безперервний моніторинг з відеозаписом
  • Контроль навколишнього середовища: Придушення пожежі, контроль клімату та надмірність живлення

Безпека додатків

Практики безпечного кодування та управління вразливостями

Безпечна розробка

  • Безпечний SDLC: Безпека інтегрована в кожну фазу життєвого циклу розробки програмного забезпечення
  • Перевірка коду: Всі зміни коду перевіряються декількома розробниками перед розгортанням
  • Статичний аналіз: Автоматизоване сканування коду на наявність вразливостей безпеки (SAST)
  • Сканування залежностей: Сторонні бібліотеки скануються на наявність відомих вразливостей
  • Навчання з безпеки: Регулярне навчання з безпеки для всіх членів команди розробки

Управління вразливостями

  • Тестування на проникнення: Щорічні сторонні тести на проникнення сертифікованими фірмами безпеки
  • Програма Bug Bounty: Програма відповідального розкриття інформації з винагородами для дослідників безпеки
  • Сканування вразливостей: Щотижневі автоматизовані сканування на наявність вразливостей безпеки
  • Управління патчами: Критичні патчі безпеки розгортаються протягом 24 годин
  • Моніторинг CVE: Безперервний моніторинг загальних вразливостей і експозицій

Захист OWASP Top 10

  • SQL-ін'єкція: Параметризовані запити та ORM запобігають атакам SQL-ін'єкції
  • Запобігання XSS: Санітизація вводу та заголовки Content Security Policy (CSP)
  • Захист від CSRF: Токени анти-CSRF на всіх операціях зміни стану
  • Недоліки автентифікації: Галузева стандартна автентифікація через Firebase Auth
  • Неправильна конфігурація безпеки: Автоматизовані перевірки конфігурації та посилення
  • Розкриття конфіденційних даних: Шифрування та безпечне зберігання всіх конфіденційних даних

Безпека API

  • Токени JWT: Автентифікація API за допомогою JSON Web Tokens з терміном дії
  • Обмеження швидкості: Обмеження швидкості API запобігають зловживанням та атакам DDoS
  • Перевірка вводу: Всі вводи API перевіряються та санітизуються
  • OAuth 2.0: Безпечний доступ до стороннього API з протоколом OAuth 2.0

Відповідність та сертифікати

Відповідність глобальним стандартам безпеки та конфіденційності

SOC 2 Type II

Щорічні аудити наших засобів безпеки, доступності та конфіденційності незалежними сторонніми аудиторами.

Відповідність GDPR

Повна відповідність Загальному регламенту ЄС про захист даних, включаючи права суб'єктів даних та повідомлення про порушення.

Відповідність CCPA

Відповідність Каліфорнійському закону про конфіденційність споживачів для клієнтів з США з комплексними засобами контролю конфіденційності.

ISO 27001 (GCP)

Наш провайдер інфраструктури (Google Cloud) підтримує сертифікацію ISO 27001 для управління інформаційною безпекою.

PCI DSS

Обробка платежів через платіжні процесори, сумісні з PCI DSS Level 1. Ми ніколи не зберігаємо дані кредитних карт.

Готовність до HIPAA

Інфраструктура підтримує вимоги відповідності HIPAA для медичних організацій (BAA доступний на запит).

Конфіденційність та захист даних

Прозорі практики роботи з даними та засоби контролю конфіденційності користувачів

Мінімізація даних

  • Ми збираємо лише дані, необхідні для функціональності послуги
  • Немає відстежуючих файлів cookie для маркетингових цілей
  • Біометричні дані зберігаються в хешованому, незворотному форматі
  • Додаткові функції дозволяють вимкнути певний збір даних

Права користувачів

  • Право на доступ: Експорт усіх ваших даних у стандартних форматах (CSV, JSON, Excel)
  • Право на видалення: Запит на постійне видалення ваших даних
  • Право на виправлення: Виправлення неточних або неповних даних
  • Право на переносимість: Передача даних іншому постачальнику послуг
  • Право на заперечення: Відмова від маркетингових повідомлень та аналітики

Угоди про обробку даних

  • Стандартні контрактні положення: Затверджені ЄС SCC для міжнародних передач даних
  • Відповідність GDPR: Повна відповідність зобов'язанням процесора згідно зі статтею 28 GDPR
  • Прозорість субпроцесорів: Публічний список усіх субпроцесорів з повідомленням про зміни
  • Повідомлення про порушення даних: Повідомлення протягом 72 годин про будь-яке порушення даних

Моніторинг безпеки та реагування на інциденти

Моніторинг 24/7 та швидке реагування на інциденти

Безперервний моніторинг

  • Моніторинг 24/7: Цілодобовий моніторинг інфраструктури та додатків
  • Інтеграція SIEM: Управління інформацією про безпеку та подіями для виявлення загроз
  • Виявлення аномалій: Виявлення незвичайної активності на основі машинного навчання
  • Сповіщення в реальному часі: Миттєві повідомлення про інциденти безпеки
  • Агрегація журналів: Централізоване журналювання з утриманням для судово-медичного аналізу

Реагування на інциденти

  • Спеціалізована команда: Команда реагування на інциденти безпеки доступна 24/7
  • Час реагування: Початкова відповідь протягом 15 хвилин після виявлення критичного інциденту
  • Комунікація: Прозора комунікація з постраждалими клієнтами під час інцидентів
  • Огляд після інциденту: Детальний аналіз та коригувальні дії після інцидентів
  • Повідомлення регуляторних органів: Відповідність вимогам повідомлення про порушення (GDPR, CCPA)

Журналювання аудиту

  • Комплексні журнали: Всі дії користувачів, системні події та події безпеки реєструються
  • Незмінні журнали: Журнали не можна змінити або видалити, що забезпечує цілісність аудиторського сліду
  • Збереження журналів: Журнали безпеки зберігаються протягом 2 років для відповідності та судово-медичної експертизи
  • Активність користувачів: Клієнти можуть переглядати журнали аудиту активності своєї організації

Доступ співробітників та навчання

Суворий контроль доступу співробітників до даних клієнтів

Контроль доступу

  • Найменші привілеї: Співробітники мають доступ лише до даних, необхідних для виконання їхніх посадових обов'язків
  • Перевірка анкетних даних: Всі співробітники проходять перевірку анкетних даних перед наймом
  • NDA та конфіденційність: Всі співробітники підписують угоди про нерозголошення
  • Перевірки доступу: Щоквартальні перевірки дозволів доступу співробітників
  • Негайне скасування: Доступ скасовується негайно після звільнення

Навчання з безпеки

  • Навчання при прийомі на роботу: Обов'язкове навчання з безпеки для всіх нових співробітників
  • Щорічне навчання: Щорічне навчання з питань безпеки з оновленими загрозами
  • Симуляції фішингу: Регулярні тести на фішинг для підтримки пильності
  • Навчання реагування на інциденти: Щоквартальні навчання з реагування на інциденти безпеки
  • Навчання з відповідності: Навчання GDPR, SOC 2 та захисту даних

Доступ до даних клієнтів

  • Немає доступу за замовчуванням: Співробітники не мають доступу до даних клієнтів за замовчуванням
  • Доступ підтримки: Служба підтримки клієнтів може отримати доступ до даних лише з явного дозволу
  • Аудиторський слід: Весь доступ співробітників до даних клієнтів реєструється та контролюється
  • Анонімізація даних: Інженери працюють з анонімізованими даними для налагодження

Найкращі практики безпеки для клієнтів

Ми рекомендуємо наступні практики для підвищення безпеки вашого облікового запису:

  • Увімкніть двофакторну автентифікацію (2FA) для всіх користувачів
  • Використовуйте надійні, унікальні паролі (мінімум 12 символів)
  • Регулярно переглядайте дозволи доступу користувачів і видаляйте непотрібний доступ
  • Навчайте співробітників поінформованості про фішинг та соціальну інженерію
  • Впроваджуйте власні внутрішні засоби контролю доступу та політики
  • Регулярно експортуйте та створюйте резервні копії своїх даних
  • Контролюйте журнали аудиту на предмет підозрілої активності
  • Негайно повідомляйте про будь-які проблеми безпеки на [email protected]

Програма відповідального розкриття інформації

Ми цінуємо спільноту безпеки та вітаємо звіти про вразливості безпеки. Якщо ви виявили проблему безпеки, повідомте про це відповідально:

Email безпеки: [email protected]

Ключ PGP: Доступний на запит для зашифрованих комунікацій

Час відповіді: Ми підтверджуємо отримання звітів протягом 24 годин

Bug Bounty: Винагороди доступні для кваліфікованих вразливостей

Рекомендації

  • Не отримуйте доступ до даних клієнтів і не змінюйте їх без авторизації
  • Не проводьте атаки відмови в обслуговуванні або руйнівне тестування
  • Дайте нам розумний час для вирішення проблеми перед публічним розкриттям
  • Надайте детальні кроки відтворення та оцінку впливу
  • Ми не будемо переслідувати дослідників, які діють добросовісно

Питання про безпеку?

Наша команда безпеки тут, щоб відповісти на ваші питання

Зв'язатися з командою безпеки Переглянути політику конфіденційності