положение о безопасности
20 мая 2018 г.
Настоящее Положение о безопасности относится к продуктам, услугам и вебсайтам предлагаемым компанией IntexSoft, кроме случаев, когда указано иначе. Эти продукты, услуги и вебсайты в совокупности именуются в данном Положении «сервисами». Настоящее Положение о безопасности также является частью пользовательских соглашений для клиентов IntexSoft. IntexSoft ценит доверие, которое наши клиенты оказывают нам, позволяя сохранять свои данные. Мы серьёзно относимся к защите и безопасности Вашей информации и стремимся к полной прозрачности наших методов обеспечения безопасности, описанных ниже. В нашей Политике конфиденциальности и Политике использования cookie-файлов также подробно описан порядок обращения с Вашими данными.
Общие сведения Положения
– IntexSoft использует полученные сведения и данные от заказчиков и пользователей только в целях указанных в Политике конфиденциальности и Политике использования cookie-файлов, а также в Договоре о сотрудничестве между Заказчиком и IntexSoft. Мы не передаём их третьим лицам и не сохраняем регистр их обработки.
– Договор о неразглашении коммерческой тайны подписывается с каждым заказчиком IntexSoft и представляет собой отдельный документ либо часть Общего договора о сотрудничестве между Заказчиком и IntexSoft.
– Все субподрядчики нашей компании также подчиняются данному Положению и Политике конфиденциальности.
– IntexSoft проводит регулярный контроль субподрядчиков на предмет соблюдения данного Положения и Политики конфиденциальности.
– Контактные данные DPO (Data Protection Ofcere могут быть выданы по запросу от пользователей вебсайтов или Заказчиков.
Физическая безопасность и соответствие стандартам
– Все физические сервера оборудованы Smart UPS.
– Серверная комната отделена от остальных помещений, обеспечена независимой дублирующейся системой охлаждения. Доступ к серверной комнате имеет выделенная команда сотрудников IntexSoft.
– Все серверы с гипервизорами виртуальных машин оснащены отказоустойчивыми (RAIDe хранилищами.
– В число физических средств контроля безопасности в наших центрах обработки данных входят мониторинг, как минимум каждые 12 часов, камеры наблюдения, журналы посетителей, журналы предоставления доступов.
– В зависимости от желания заказчика и требований проекта все данные проекта располагаются на сервере (в том числе GIT-репозиторийe заказчика или сервере IntexSoft.
– Базы знаний не содержат данных конечных пользователей, только техническую информацию проекта.
– Весь трафик приходящий во внутреннюю сеть IntexSoft проходит обработку спам-фильтром и антивирусом.
Контроль доступа
– Доступ сотрудников к технологическим ресурсам IntexSoft разрешается только при использовании средств безопасного соединения SSL, требующего многофакторной аутентификации и одобрения прямым руководителем проекта.
– Сертификат доступа к внутренней системе управления проектами обновляется каждые 3 месяца.
– Заказчику может быть выдан доступ через SSL соединение во внутреннюю трекинговую систему IntexSoft для осуществления контроля над реализацией проекта и формирования текущих задач посредством создания билетов в трекинговой системе.
– Доступ к проекту и информации с ней связанной имеет только группа сотрудников IntexSoft осуществляющая работу над этим проектом. При переводе на другой проект специалисты проходят короткий инструктаж о невозможности использования, копирования и передачи третьим лицам информации, имеющей отношение к предыдущему проекту.
– Доступ к live системам, которые могут содержать данные пользователей,запрещён. В исключительных случаях, определяемых заказчиком, доступ предоставляется и контролируется другим сотрудником, для предотвращения нарушения требований заказчика. Причина выдачи запроса, сотрудник, осуществляющий работу. и сотрудник, осуществляющий контроль, время и тип соединений протоколируется специально выделенным сотрудником IntexSoft.
– Такие данные как: логин, пароль, ключи доступа и адреса, – хранятся в зашифрованном виде на отдельном, от всего проекта, носителе. Доступ к ним осуществляется только с разрешения прямого руководителя проекта.
Обработка данных
– IntexSoft и её сотрудники используют полученные данные только в тех объёмах и целях, которые необходимы для достижения поставленной задачи, если она не противоречит местным законам в области защиты информации и GDPR.
Политики безопасности
– IntexSoft регулярно пересматривает и ежегодно обновляет свои политики информационной безопасности.
– Сотрудники ежегодно подтверждают принятие данных политик и проходят дополнительное обучение, в частности, по таким темам, как HIPAA, безопасное кодирование, PCI и повышение квалификации по безопасности для своей специальности и (илиe подготовка по законам о конфиденциальности для важнейших должностных лиц. Программа обучения составлена с учётом всех спецификаций и нормативных требований, применимых к IntexSoft.
Персонал
– При найме персонала IntexSoft проводит проверку биографии кандидатов (в той степени, в какой это разрешено или рекомендуется применимым законодательством.
– IntexSoft доводит свои политики информационной безопасности до сведения всего персонала, требует от новых сотрудников подписывать соглашения о неразглашении и проводит непрерывное обучение по конфиденциальности и безопасности.
– По требованию заказчика, для его проекта может быть выделена отдельная команда, отдельное помещение к которому имеет доступ только данная выделенная команда.
– При увольнении сотрудника, все доступы аннулируются и ему напоминают об ответственности за нарушение данного Положения и Договора о неразглашении.
Управление уязвимостью и тесты на проникновение
IntexSoft выполняет программу документированного управления уязвимостью, которая предусматривает периодическую проверку, выявление и устранение уязвимостей для безопасности на серверах, рабочих станциях, сетевом оборудовании и в приложениях. Все сети, включая тестовые и производственные среды, регулярно проверяются. Критические исправления устанавливаются на серверах в приоритетном порядке, а все прочие исправления — по необходимости.
Мы также проводим регулярные тесты на внутреннее и внешнее проникновение и устраняем найденные недочёты в соответствии с их серьёзностью.
Шифрование
Мы шифруем Ваши данные при передаче с использованием защищённых криптографических протоколов SSL/TLS. Данные IntexSoft также шифруются при хранении.
Разработка
– Наши разработчики используют методики безопасного кодирования и передовой опыт с ориентацией на OWASP Top 10. После приёма на работу, а также ежегодно разработчики проходят обучение методам безопасной разработки веб-приложений.
– Среда разработки, тестовая среда и рабочая среда отделены друг от друга. Все изменения до развёртывания в рабочей среде проходят проверку экспертами и регистрируются для целей эксплуатации, аудита и судебной экспертизы.
– Коммуникация с сотрудниками осуществляется в основном посредством создания билетов в системе управления проектами заказчика или IntexSoft.
– В зависимости от проекта исполняемый код размещается в тестовой среде заказчика или IntexSoft.
– Исходный код проекта не содержит данных конечных пользователей, такие как: пароль, логин, ключи доступа или адрес. Регулярный тематический анализ кода и автоматическая инспекция отслеживает выполнение данного пункта.
Контроль нарушений информационной безопасности
IntexSoft применяет политики и процедуры реагирования на нарушения безопасности, регулирующие первоочередные меры, расследование, уведомление клиентов (в объёме не менее предусмотренного применимым законодательством, информирование общественности и ликвидацию последствий. Эти политики регулярно пересматриваются и раз в два года тестируются.
Уведомление о нарушении
Несмотря на все усилия, ни один метод сохранения или передачи электронных данных через Интернет не является абсолютно безопасным.Мы не в силах гарантировать стопроцентную безопасность. Однако если IntexSoft станет известно о факте нарушения безопасности, мы уведомим пострадавшую сторону о цели, времени и возможных последствиях нарушения незамедлительно в письменной форме, чтобы она могла принять соответствующие защитные меры. В дальнейшем Наша компания принимает меры по усилению мер безопасности на основании полученных сведений, сообщая заказчику о предпринимаемых шагах, и проводит превентивные мероприятия для устранения возможных утечек в будущем.
Аспекты информационной безопасности в управлении непрерывностью бизнеса
– Доступ к сети интернет осуществляется через схему оптоволоконной связи с дублированием канала, с круглосуточной технической поддержкой 24/7.
– Резервное копирование хранилищ данных и информацию файловых и других систем, проводят регулярно в соответствии с установленным графиком.