Организация безопасности Softline Cloud

Softline Cloud заботится о безопасности данных наших клиентов. Для обеспечения надлежащей защиты информации Компанией применяется ряд организационных и технических мероприятий.

ОРГАНИЗАЦИОННЫЕ МЕРЫ

В Компании действует система управления информационной безопасностью, главной целью которой является снижение рисков для всех заинтересованных сторон. У нас разработаны и внедрены политики и процедуры информационной безопасности, которые обеспечивают конфиденциальность, доступность и целостность данных наших клиентов.

В Компании функционирует выделенное подразделение, сотрудники которого обеспечивают реализацию программы мероприятий по информационной безопасности. Совместно с сотрудниками ИТ- и бизнес-подразделений они принимают участие в разработке мер по защите, контролю их выполнения.

Обучение и осведомлённость по вопросам информационной безопасности​

Каждый сотрудник Компании при трудоустройстве даёт письменное согласие о неразглашении конфиденциаль-ной информации, включая персональные данные, которые ему станут доступными в процессе трудовой деятельности. Все сотрудники проходят обязательное обучение по вопросам, связанным с обеспечением безопасности информации, производится оценка полученных ими знаний. Регулярно производится информирование работников по различным аспектам ИБ.

Безопасность конечных устройств​

Персональные компьютеры работников Softline оснащены надёжными средствами защиты информации, включая средства антивирусной защиты, контроля сетевых подключений, контроля доступа и т. п. Все компьютеры централизованно управляются нашей службой ИТ. Программное обеспечение на всех персональных компьютерах регулярно обновляется.

ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ

В офисах​

Доступ в офисы Компании, а также в зоны размещения средств обработки, хранения и передачи данных строго контролируется техническими средствами: системой контроля и управления доступом и системой видеонаблюдения. Записи систем обеспечения физической безопасности хранятся в соответствии с установленными сроками в целях обнаружения и анализа аномалий.

Все помещения оснащены средствами пожарной сигнализации и пожаротушения. Регулярно проводятся проверки этих систем.

В центрах обработки данных​

Физическую безопасность центров обработки данных обеспечивает оператор ЦОДа. Доступ в помещения ЦО-Дов имеет небольшая группа работников, в обязанности которых входит обслуживание оборудования. ЦОДы, в которых размещаются данные наших клиентов, имеют сертификаты Tier III, PCI DSS.

БЕЗОПАСНОСТЬ ИНФРАСТРУКТУРЫ

Безопасность сети​

Наша система сетевой безопасности спроектирована таким образом, чтобы обеспечивать защиту на различных уровнях. Мы применяем межсетевые экраны на границе сети для предотвращения несанкционированного доступа к сети Компании. Межсетевые экраны пропускают только явно разрешённый трафик. Все изменения, вносимые в конфигурацию МЭ тщательно тестируются и рассматриваются на предмет их влияния на безопасность сети. Сеть сегментирована в соответствии с требованиями доступа и защиты информации. Тестирование и разработка производится в отдельных сетевых сегментах и не затрагивает инфраструктуру наших клиентов.

Наши инженеры непрерывно отслеживают все аномалии и подозрительные активности. Для целей мониторинга используются специализированные системы.

Отказоустойчивость сети​

Мы обеспечиваем отказоустойчивость нашей инфраструктуры путём резервирования критически важных компонентов.

Противодействие DDoS-атакам​

Для защиты от DDoS-атак на наши ресурсы и ресурсы наших клиентов мы используем технологии противодействия от наших доверенных поставщиков услуг. Это позволяет нам обеспечивать высокую доступность и требуемую производительность наших приложений, веб-интерфейсов, API.

Защита серверных систем​

Конфигурация всех наших серверных систем выполнена с учётом требования безопасности: отключены все неиспользуемые службы, отключены неиспользуемые учётные записи, установлены надёжные пароли и т. д.

Обнаружение и предотвращение вторжений​

Для своевременного обнаружения атак, направленных на нашу инфраструктуру, мы применяем систему обнаружения вторжений. Доступ пользователей с административными привилегиями, а также другая активность записывается и хранится в журналах. На уровне приложений мы используем Web Application Firewall для контроля подключений.

Управление уязвимостями​

Все наши информационное системы периодически проверяются на наличие в них известных технических уязвимостей. В этих целях мы используем специальные сканеры уязвимостей. Все выявленные уязвимости, которые носят критических характер, оперативно устраняются нашими инженерами.

УПРАВЛЕНИЕ ИДЕНТИФИКАЦИЕЙ И ДОСТУПОМ

Многофакторная аутентификация​

В целях усиления безопасности процесса аутентификации пользователей нами применяется дополнительная проверка подлинности. Это значительно снижает риски связанные с несанкционированным доступом в случае компрометации пароля пользователя. Для хранения и управления учётными данными используется централизованная служба каталога.

Доступ​

Мы используем технические меры контроля доступа к нашим системам, которые исключают произвольный доступ пользователей к данным. Мы придерживаемся принципа минимально необходимого и достаточного доступа при назначении прав. Все попытки доступа, в том числе и неудачные, записываются в журналы систем и доступны для анализа.

БЕЗОПАСНОСТЬ ДАННЫХ

Изоляция данных​

При проектировании инфраструктуры нашей сети мы учитываем требования по изоляции различных типов данных. Системы и данные каждого клиента логически отделены от систем и данных других клиентов, а также от внутренних систем Компании. Т. о. один клиент не может получить доступ к данным другого клиента.

Криптографическая защита​

Все данные наших клиентов, передаваемые через сети общего пользования защищены надёжными криптографическими протоколами. Для подключения к инфраструктуре Softline Cloud обязательно использование протокола TLS 1.2/1.3. Это позволяет устанавливать безопасный канал связи с проверкой подлинности обеих сторон и шифрованием передаваемых данных.

Для защиты информации, хранящейся в инфраструктуре Softline Cloud, наши клиенты могут использовать шифрование данных.

Удаление данных​

Мы храним данные наших клиентов на протяжении всего времени использования облачных услуг. По завершении действия договора все данные клиента уничтожаются надёжным способом в установленные сроки. Все вышедшие из эксплуатации накопители информации хранятся в безопасном месте с ограниченным доступом персонала до момента их утилизации.

УПРАВЛЕНИЕ ИНЦИДЕНТАМИ

Для своевременного реагирования и качественного расследования инцидентов нами разработана и внедрена соответствующая процедура. Мы уведомляем наших клиентов обо всех инцидентах, которые могут их затро-нуть. По результатам расследования инцидентов мы разрабатываем мероприятия, позволяющие избежать их повторного возникновения.