yandex

Положение о безопасности

20 мая 2018 г.

Настоящее Положение о безопасности относится к продуктам, услугам и вебсайтам предлагаемым компанией ИнтэксСофт, кроме случаев, когда указано иначе. Эти продукты, услуги и вебсайты в совокупности именуются в данном Положении «сервисами». Настоящее Положение о безопасности также является частью пользовательских соглашений для клиентов ИнтэксСофт .

ИнтэксСофт ценит доверие, которое наши клиенты оказывают нам, позволяя сохранять свои данные. Мы серьёзно относимся к защите и безопасности Вашей информации и стремимся к полной прозрачности наших методов обеспечения безопасности, описанных ниже. В нашей Политике конфиденциальности и Политике использования cookie-файлов также подробно описан порядок обращения с Вашими данными.

Общие сведения Положения

  • ИнтэксСофт использует полученные сведения и данные от заказчиков и пользователей только в целях указанных в Политике конфиденциальности и Политике использования cookie-файлов , а также в Договоре о сотрудничестве между Заказчиком и ИнтэксСофт . Мы не передаём их третьим лицам и не сохраняем регистр их обработки.

  • Договор о неразглашении коммерческой тайны подписывается с каждым заказчиком ИнтэксСофт и представляет собой отдельный документ либо часть Общего договора о сотрудничестве между Заказчиком и ИнтэксСофт.

  • Все субподрядчики нашей компании также подчиняются данному Положению и Политике конфиденциальности.

  • ИнтэксСофт проводит регулярный контроль субподрядчиков на предмет соблюдения данного Положения и Политики конфиденциальности .

  • Контактные данные сотрудника по защите персональных данных могут быть выданы по запросу от пользователей вебсайтов или Заказчиков.

Физическая безопасность и соответствие стандартам

  • Все физические сервера оборудованы Smart UPS.

  • Серверная комната отделена от остальных помещений, обеспечена независимой дублирующейся системой охлаждения. Доступ к серверной комнате имеет выделенная команда сотрудников ИнтэксСофт.

  • Все серверы с гипервизорами виртуальных машин оснащены отказоустойчивыми (RAID) хранилищами.

  • В число физических средств контроля безопасности в наших центрах обработки данных входят мониторинг, как минимум каждые 12 часов, камеры наблюдения, журналы посетителей, журналы предоставления доступов.

  • В зависимости от желания заказчика и требований проекта все данные проекта располагаются на сервере (в том числе GIT-репозиторий) заказчика или сервере ИнтэксСофт.

  • Базы знаний не содержат данных конечных пользователей, только техническую информацию проекта.

  • Весь трафик, приходящий во внутреннюю сеть ИнтэксСофт, проходит обработку спам-фильтром и антивирусом.

Контроль доступа

  • Доступ сотрудников к технологическим ресурсам ИнтэксСофт разрешается только при использовании средств безопасного соединения SSL, требующего многофакторной аутентификации и одобрения прямым руководителем проекта.

  • Сертификат доступа к внутренней системе управления проектами обновляется каждые 3 месяца.

  • Заказчику может быть выдан доступ через SSL соединение во внутреннюю трекинговую систему ИнтэксСофт для осуществления контроля над реализацией проекта и формирования текущих задач посредством создания билетов в трекинговой системе.

  • Доступ к проекту и информации с ней связанной имеет только группа сотрудников ИнтэксСофт, осуществляющая работу над этим проектом. При переводе на другой проект, специалисты проходят короткий инструктаж о невозможности использования, копирования и передачи третьим лицам информации, имеющей отношение к предыдущему проекту.

  • Доступ к live системам, которые могут содержать данные пользователей, запрещён. В исключительных случаях, определяемых заказчиком, доступ предоставляется и контролируется другим сотрудником для предотвращения нарушения требований заказчика. Причина выдачи запроса, сотрудник, осуществляющий работу и сотрудник, осуществляющий контроль, время и тип соединений протоколируется специально выделенным сотрудником ИнтэксСофт.

  • Такие данные как: логин, пароль, ключи доступа и адреса - хранятся в зашифрованном виде на отдельном от всего проекта носителе. Доступ к ним осуществляется только с разрешения прямого руководителя проекта.

Обработка данных

ИнтэксСофт и её сотрудники используют полученные данные только в тех объёмах и целях, которые необходимы для достижения поставленной задачи, если она не противоречит местным законам в области защиты информации и GDPR.

Политики безопасности

  • ИнтэксСофт регулярно пересматривает и ежегодно обновляет свои политики информационной безопасности.

  • Сотрудники ежегодно подтверждают принятие данных политик и проходят дополнительное обучение, в частности по таким темам, как HIPAA, безопасное кодирование, PCI и повышение квалификации по безопасности для своей специальности и (или) подготовка по законам о конфиденциальности для важнейших должностных лиц. Программа обучения составлена с учётом всех спецификаций и нормативных требований, применимых к ИнтэксСофт.

Персонал

  • При найме персонала ИнтэксСофт проводит проверку биографии кандидатов (в той степени, в какой это разрешено или рекомендуется применимым законодательством).

  • ИнтэксСофт доводит свои политики информационной безопасности до сведения всего персонала, требует от новых сотрудников подписывать соглашения о неразглашении и проводит непрерывное обучение по конфиденциальности и безопасности данных.

  • По требованию заказчика на его проект может быть выделена отдельная команда, отдельное помещение, к которому имеет доступ только данная выделенная команда.

  • При увольнении сотрудника все доступы аннулируются, и ему напоминают об ответственности за нарушение данного Положения и Договора о неразглашении.

Управление уязвимостью и тесты на проникновение

  • ИнтэксСофт выполняет программу документированного управления уязвимостью, которая предусматривает периодическую проверку, выявление и устранение уязвимостей для безопасности на серверах, рабочих станциях, сетевом оборудовании и в приложениях. Все сети, включая тестовые и производственные среды, регулярно проверяются. Критические исправления устанавливаются на серверах в приоритетном порядке, а все прочие исправления — по необходимости.

  • Мы также проводим регулярные тесты на внутреннее и внешнее проникновение и устраняем найденные недочёты в соответствии с их серьёзностью.

Шифрование

Мы шифруем ваши данные при передаче с использованием защищённых криптографических протоколов SSL/TLS. Данные ИнтэксСофт также шифруются при хранении.

Разработка

  • Наши разработчики используют методики безопасного кодирования и передовой опыт с ориентацией на OWASP Top 10. После приёма на работу, а также ежегодно разработчики проходят обучение методам безопасной разработки веб-приложений.

  • Среда разработки, тестовая среда и рабочая среда отделены друг от друга. Все изменения до развёртывания в рабочей среде проходят проверку экспертами и регистрируются для целей эксплуатации, аудита и судебной экспертизы.

  • Коммуникация с сотрудниками осуществляется в основном посредством создания билетов в системе управления проектами заказчика или ИнтэксСофт.

  • В зависимости от проекта исполняемый код размещается в тестовой среде заказчика или ИнтэксСофт.

  • Исходный код проекта не содержит данных конечных пользователей, такие как: пароль, логин, ключи доступа или адрес. Регулярный тематический анализ кода и автоматическая инспекция отслеживает выполнение данного пункта.

Контроль нарушений информационной безопасности

ИнтэксСофт применяет политики и процедуры реагирования на нарушения безопасности, регулирующие первоочередные меры, расследование, уведомление клиентов (в объёме не менее предусмотренного применимым законодательством), информирование общественности и ликвидацию последствий. Эти политики регулярно пересматриваются и раз в два года тестируются.

Уведомление о нарушении

Несмотря на все усилия, ни один метод сохранения или передачи электронных данных через Интернет не является абсолютно безопасным. Мы не в силах гарантировать стопроцентную безопасность. Однако если ИнтэксСофт станет известно о факте нарушения безопасности, мы уведомим пострадавшую сторону о цели, времени и возможных последствиях нарушения незамедлительно в письменной форме, чтобы она могла принять соответствующие защитные меры. В дальнейшем наша компания принимает меры по усилению мер безопасности на основании полученных сведений, сообщая заказчику о предпринимаемых шагах, и проводит превентивные мероприятия для устранения возможных утечек в будущем.

Аспекты информационной безопасности в управлении непрерывностью бизнеса

  • Доступ к сети интернет осуществляется через схему оптоволоконной связи с дублированием канала, с круглосуточной технической поддержкой 24/7.

  • Резервное копирование хранилищ данных и информацию файловых и других систем, проводят регулярно в соответствии с установленным графиком.