Организация безопасности Softline Cloud
Softline Cloud заботится о безопасности данных наших клиентов. Для обеспечения надлежащей защиты информации Компанией применяется ряд организационных и технических мероприятий.
ОРГАНИЗАЦИОННЫЕ МЕРЫ
В Компании действует система управления информационной безопасностью, главной целью которой является снижение рисков для всех заинтересованных сторон. У нас разработаны и внедрены политики и процедуры информационной безопасности, которые обеспечивают конфиденциальность, доступность и целостность данных наших клиентов.
В Компании функционирует выделенное подразделение, сотрудники которого обеспечивают реализацию программы мероприятий по информационной безопасности. Совместно с сотрудниками ИТ- и бизнес-подразделений они принимают участие в разработке мер по защите, контролю их выполнения.
Обучение и осведомлённость по вопросам информационной безопасности
Каждый сотрудник Компании при трудоустройстве даёт письменное согласие о неразглашении конфиденциаль-ной информации, включая персональные данные, которые ему станут доступными в процессе трудовой деятельности. Все сотрудники проходят обязательное обучение по вопросам, связанным с обеспечением безопасности информации, производится оценка полученных ими знаний. Регулярно производится информирование работников по различным аспектам ИБ.
Безопасность конечных устройств
Персональные компьютеры работников Softline оснащены надёжными средствами защиты информации, включая средства антивирусной защиты, контроля сетевых подключений, контроля доступа и т. п. Все компьютеры централизованно управляются нашей службой ИТ. Программное обеспечение на всех персональных компьютерах регулярно обновляется.
ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ
В офисах
Доступ в офисы Компании, а также в зоны размещения средств обработки, хранения и передачи данных строго контролируется техническими средствами: системой контроля и управления доступом и системой видеонаблюдения. Записи систем обеспечения физической безопасности хранятся в соответствии с установленными сроками в целях обнаружения и анализа аномалий.
Все помещения оснащены средствами пожарной сигнализации и пожаротушения. Регулярно проводятся проверки этих систем.
В центрах обработки данных
Физическую безопасность центров обработки данных обеспечивает оператор ЦОДа. Доступ в помещения ЦО-Дов имеет небольшая группа работников, в обязанности которых входит обслуживание оборудования. ЦОДы, в которых размещаются данные наших клиентов, имеют сертификаты Tier III, PCI DSS.
БЕЗОПАСНОСТЬ ИНФРАСТРУКТУРЫ
Безопасность сети
Наша система сетевой безопасности спроектирована таким образом, чтобы обеспечивать защиту на различных уровнях. Мы применяем межсетевые экраны на границе сети для предотвращения несанкционированного доступа к сети Компании. Межсетевые экраны пропускают только явно разрешённый трафик. Все изменения, вносимые в конфигурацию МЭ тщательно тестируются и рассматриваются на предмет их влияния на безопасность сети. Сеть сегментирована в соответствии с требованиями доступа и защиты информации. Тестирование и разработка производится в отдельных сетевых сегментах и не затрагивает инфраструктуру наших клиентов.
Наши инженеры непрерывно отслеживают все аномалии и подозрительные активности. Для целей мониторинга используются специализированные системы.
Отказоустойчивость сети
Мы обеспечиваем отказоустойчивость нашей инфраструктуры путём резервирования критически важных компонентов.
Противодействие DDoS-атакам
Для защиты от DDoS-атак на наши ресурсы и ресурсы наших клиентов мы используем технологии противодействия от наших доверенных поставщиков услуг. Это позволяет нам обеспечивать высокую доступность и требуемую производительность наших приложений, веб-интерфейсов, API.
Защита серверных систем
Конфигурация всех наших серверных систем выполнена с учётом требования безопасности: отключены все неиспользуемые службы, отключены неиспользуемые учётные записи, установлены надёжные пароли и т. д.
Обнаружение и предотвращение вторжений
Для своевременного обнаружения атак, направленных на нашу инфраструктуру, мы применяем систему обнаружения вторжений. Доступ пользователей с административными привилегиями, а также другая активность записывается и хранится в журналах. На уровне приложений мы используем Web Application Firewall для контроля подключений.
Управление уязвимостями
Все наши информационное системы периодически проверяются на наличие в них известных технических уязвимостей. В этих целях мы используем специальные сканеры уязвимостей. Все выявленные уязвимости, которые носят критических характер, оперативно устраняются нашими инженерами.
УПРАВЛЕНИЕ ИДЕНТИФИКАЦИЕЙ И ДОСТУПОМ
Многофакторная аутентификация
В целях усиления безопасности процесса аутентификации пользователей нами применяется дополнительная проверка подлинности. Это значительно снижает риски связанные с несанкционированным доступом в случае компрометации пароля пользователя. Для хранения и управления учётными данными используется централизованная служба каталога.
Доступ
Мы используем технические меры контроля доступа к нашим системам, которые исключают произвольный доступ пользователей к данным. Мы придерживаемся принципа минимально необходимого и достаточного доступа при назначении прав. Все попытки доступа, в том числе и неудачные, записываются в журналы систем и доступны для анализа.
БЕЗОПАСНОСТЬ ДАННЫХ
Изоляция данных
При проектировании инфраструктуры нашей сети мы учитываем требования по изоляции различных типов данных. Системы и данные каждого клиента логически отделены от систем и данных других клиентов, а также от внутренних систем Компании. Т. о. один клиент не может получить доступ к данным другого клиента.
Криптографическая защита
Все данные наших клиентов, передаваемые через сети общего пользования защищены надёжными криптографическими протоколами. Для подключения к инфраструктуре Softline Cloud обязательно использование протокола TLS 1.2/1.3. Это позволяет устанавливать безопасный канал связи с проверкой подлинности обеих сторон и шифрованием передаваемых данных.
Для защиты информации, хранящейся в инфраструктуре Softline Cloud, наши клиенты могут использовать шифрование данных.
Удаление данных
Мы храним данные наших клиентов на протяжении всего времени использования облачных услуг. По завершении действия договора все данные клиента уничтожаются надёжным способом в установленные сроки. Все вышедшие из эксплуатации накопители информации хранятся в безопасном месте с ограниченным доступом персонала до момента их утилизации.
УПРАВЛЕНИЕ ИНЦИДЕНТАМИ
Для своевременного реагирования и качественного расследования инцидентов нами разработана и внедрена соответствующая процедура. Мы уведомляем наших клиентов обо всех инцидентах, которые могут их затро-нуть. По результатам расследования инцидентов мы разрабатываем мероприятия, позволяющие избежать их повторного возникновения.