Securitate

Înțelegeți modul în care abordăm securitatea

Practici de securitate

Apreciem importanța și sensibilitatea datelor dvs., motiv pentru care depunem eforturi constante pentru a menține și îmbunătății securitatea Serviciilor oferite. Practicile de securitate implementate au ca obiectiv:

– protejarea confidențialității, integrității și disponibilității datelor dvs.;

– protejarea sistemelor care furnizează Serviciile și suportul de care aveți nevoie;

– protejarea codului nostru sursă și a altor date care ne aparțin, împotriva furtului sau încercărilor de alterare neautorizată;

– protejarea datelor personale colectate.

Securitatea datelor în Cloud

Google Cloud Platform (GCP) răspunde celor mai stricte politici de securitate și reglementări în domeniul protecției datelor, fiind conceput pentru a oferi o securitate mai bună decât majoritatea soluțiilor tradiționale on-site. Am ales serviciile GCP pentru a ne putea îndeplini obiectivele de afaceri, precum implementarea și scalarea cu rapiditate a soluțiilor tehnice și de securitate dezvoltate.

GCP efectuează în mod regulat audituri externe de securitate, confidențialitate și conformitate cu reglementările aplicabile, beneficiind de multiple certificări și atestări, printre care:

– ISO/IEC 27001 privind sistemul de management al securității informațiilor

– ISO/IEC 27017 privind măsuri de securitatea informațională suplimentară, specifice furnizorilor de servicii cloud

– ISO/IEC 27018 privind protecția datelor personale și confidențialitatea acestor în cadrul serviciilor cloud

– C5 (Cloud Computing Compliance Controls Catalogue) privind securitatea serviciilor cloud care beneficiază de standarde de securitate recunoscute la nivel internațional

Pentru mai multe informații cu privire la securitatea GCP și o listă completă și actualizată a certificărilor aplicabile, puteți accesa Google Compliance resource center.

Datele dvs. stocate electronic cu ajutorul GCP sunt localizate în centrul de date Google din Frankfurt, Germania, europe-west3.

Securitatea centrelor de date

Am apelat la același furnizor de servicii de hosting (server) care beneficiază de încrederea unor instituții bancare și societăți medicale.

Data Center-ul xServers beneficiază de linii electrice supradimensionate și redundante, soluții de răcire profesionale, interconectări redundante cu marii furnizori de internet din România și legături directe internațional.

Securitatea locației fizice este asigurată prin acces electronic prin card magnetic. Obiectivul este monitorizat 24/7. Se asigură supravegherea, monitorizarea și înregistrarea video permanentă, precum și monitorizarea temperaturii și umidității mediului.

Pentru mai multe detalii legate de securitatea și performanța centrelor de date, puteți consulta site-ul furnizorului nostru.

Securitatea informației

Am implementat o serie de politici și proceduri interne menite să asigure confidențialitatea, integritatea și disponibilitatea datelor stocate. Aplicăm aceste politici în operațiunile noastre de zi cu zi și le revizuim în mod regulat:

– Politica privind securitatea informației

– Politica privind accesul la date

– Politica privind respectarea drepturilor persoanelor vizate

– Politica de retenție

– Managementul incidentelor de securitate

– Procedura de evaluare a furnizorilor terți

– Politica privind anonimizarea și pseudonimizarea datelor

Evaluarea furnizorilor terți

Am implementat proceduri de evaluare a furnizorilor terți pentru a putea analiza impactul operațional și de securitate al unor noi instrumente și servicii utilizate pentru a îmbunătății Serviciile sau capacitățile personalului nostru. Luăm în considerare și evaluăm riscul asociat introducerii unor noi servicii raportat la următoarele criterii:

– Raportul contractual viitor

– Practicile de securitate implementate de către furnizor

– Caracteristicile tehnice al serviciului evaluat

În toate cazurile, evaluarea ia în considerare impactul asupra datelor personale prelucrate și are rolul de a stabili dacă furnizorul a implementat măsuri adecvate de protecție a datelor personale.

Relația cu personalul angajat

Am implementat măsuri de control cu privire accesul pe care personalul nostru îl are asupra datelor dvs. Normala funcționare a Serviciilor implică, în anumite circumstanțe, accesul personalului nostru la sistemele care stochează și procesează datele dvs. (de exemplu: pentru a răspunde unei solicitări din partea dvs. sau pentru a remedia o problemă pe care o aveți în legătură cu Serviciile, va trebui să accesăm datele dvs.). Am implementat politici interne care:

– interzic accesul personalului la datele dvs., în afara situațiilor în care este absolut necesar;

– impun logarea oricărui acces la datele dvs.

 Cu ocazia angajării:

– efectuăm verificări cu privire la cazierul penal și apartenența la organizații politice;

– semnăm acorduri de confidențialitate cu fiecare angajat;

– aducem la cunoștință și oferim sprijin în vederea înțelegerii Practicilor noastre de securitate.

Criptarea datelor în tranzit și în repaus

Folosim standardul TLS (Transport Layer Security) pentru a securiza datele dvs. aflate în tranzit. Certificatul nostru este emis de Letsencrypt (Digital Signature Trust Co.) și este identificat printr-o semnătură SHA256RSA. Astfel, datele dvs. sunt protejate în cazul în care are loc o interceptare a comunicațiilor în timpul ce datele sunt transmise între client și furnizorul de servicii hosting. Această protecție este obținută prin criptarea datelor înainte de transmitere; autentificarea endpoint-urilor; și, în final, decriptarea și verificarea datelor la sosire.

Furnizorul nostru de servicii cloud asigura criptarea datelor în tranzit (server-to-server). Mai exact, comunicarea datelor între xServer și Google Cloud Platform are loc prin intermediul unui canal securizat.

Acest video al furnizorului nostru de servicii cloud descrie criptarea datelor în tranzit.

Furnizorul nostru de servicii cloud asigură cele mai înalte standarde de criptare a datelor în repaus. Criptarea datelor aflate în repaus presupune stocarea datelor într-o formă criptată. Acest lucru protejează datele dvs. în cazul compromiterii sistemelor sau exfiltrării datelor.

Acest video al furnizorului nostru de servicii cloud descrie criptarea datelor în repaus.

Back-up și recuperare în caz de dezastru

Efectuăm multiple back-up-uri în fiecare zi cu privire la datele dvs. și utilizăm un sistem de control ar versiunilor pentru codul nostru sursă. Furnizorul nostru de servicii cloud asigură stocarea redundantă a datelor pentru a permite recuperarea acestora în cazul unui dezastru. Testăm în mod regulat procedurile de back-up, pentru a ne asigura că mecanismele implementate funcționează conform așteptărilor.

Logarea și managementul sistemelor gazdă

Sistemele care găzduiesc mediul nostru de producție beneficiază de funcții de logare a activității și monitorizare a informațiilor referitoare la securitate, disponibilitate, acces și alte date în bază cărora putem evalua securitatea și integritatea sistemelor.

Managementul incidentelor de securitate

În eventualitatea unei breșe de securitate, vă vom notifica de îndată cu privire la orice acces neautorizat la datele dvs. Am implementat politici interne care stabilesc procedurile pe care le urmăm în situația unui astfel de incident.