Drošības politika
Šī drošības politika apraksta pasākumus, ko Glonaviru veic, lai aizsargātu lietotāju datus, sistēmu integritāti un platformas drošību. Mēs apņemamies nodrošināt drošu vidi visiem mūsu pakalpojumu lietotājiem.
1. Vispārīgie principi
Glonaviru piemēro daudzslāņu drošības pieeju, kas ietver tehniskos, organizatoriskos un procedûras kontroles pasākumus. Mūsu drošības prakse tiek regulāri pārskatīta un atjaunināta, lai atspoguļotu aktuālos nozares standartus un labāko praksi.
2. Datu aizsardzība
2.1. Datu šifrēšana
- Visi dati tiek pārsūtīti izmantojot TLS 1.2 vai jaunāku protokolu
- Sensitīvi dati tiek šifrēti glabāšanas laikā
- Paroles tiek uzglabātas izmantojot kriptogrāfiski drošas jaukšanas funkcijas
- Šifrēšanas atslēgas tiek pārvaldītas un rotētas regulāri
2.2. Piekļuves kontrole
- Piekļuve datiem tiek piešķirta pēc mazākās priviliģētības principa
- Visiem iekšējiem sistēmas lietotājiem tiek pieprasīta daudzfaktoru autentifikācija
- Piekļuves tiesības tiek regulāri pārskatītas un atjauninātas
- Bijušo darbinieku piekļuve tiek nekavējoties atsaukta
2.3. Datu glabāšana un dzēšana
- Lietotāju dati tiek glabāti tikai tik ilgi, cik nepieciešams pakalpojuma sniegšanai
- Pēc konta dzēšanas personas dati tiek izdzēsti atbilstoši noteiktiem termiņiem
- Datu dzēšanas pieprasījumi tiek apstrādāti savlaicīgi
3. Infrastruktūras drošība
3.1. Tīkla drošība
- Ugunsmūri un ielaušanās atklāšanas sistēmas aizsargā tīkla perimetru
- Tīkls ir segmentēts, lai ierobežotu laterālo kustību
- Regulāri tiek veiktas tīkla drošības pārbaudes
- DDoS aizsardzības mehānismi ir ieviesti un aktīvi
3.2. Serveru drošība
- Serveri tiek regulāri atjaunināti ar drošības ielāpiem
- Tiek izmantots minimāls programmatūras komplekts — tikai nepieciešamās komponentes
- Operētājsistēmu un lietojumprogrammu konfigurācijas tiek nostiprinātas
- Antivīrusa un ļaunprogrammatūras atklāšanas rīki ir aktīvi visos serveros
3.3. Fiziskā drošība
- Platformas infrastruktūra tiek uzturēta sertificētos datu centros
- Fiziskā piekļuve serveriem ir ierobežota un tiek uzraudzīta
- Datu centri nodrošina vidi ar kontrolētu temperatūru, ugunsdzēsības sistēmām un nepārtrauktu barošanu
4. Lietojumprogrammas drošība
4.1. Drošas izstrādes prakse
- Kods tiek pārskatīts drošības ievainojamību noteikšanai pirms izvietošanas
- Izstrādes komanda regulāri tiek apmācīta drošas kodēšanas praksēs
- Izmantotās trešo pušu bibliotēkas tiek regulāri pārbaudītas un atjauninātas
- Tiek ievērota OWASP labākā prakse lietojumprogrammu izstrādē
4.2. Testēšana un auditi
- Regulāri tiek veikti automātiski drošības skenēšanas testi
- Ievainojamības tiek identificētas un novērstas atbilstoši to kriticititātei
- Periodiski tiek veiktas neatkarīgas drošības pārbaudes
4.3. Autentifikācija un sesiju pārvaldība
- Sesiju pilnvaras tiek ģenerētas droši un regulāri atjaunotas
- Neaktīvas sesijas tiek automātiski pārtrauktas
- Neveiksmīgi pieteikšanās mēģinājumi tiek ierobežoti un reģistrēti
- Tiek atbalstīta divu faktoru autentifikācija lietotāju kontiem
5. Uzraudzība un reģistrācija
- Sistēmas notikumi un drošības žurnāli tiek reģistrēti un uzglabāti drošā vietā
- Anomālu darbību atklāšanas sistēmas darbojas nepārtraukti
- Drošības brīdinājumi tiek pārskatīti un risināti savlaicīgi
- Žurnālu integritāte tiek aizsargāta pret nesankcionētu modificēšanu
6. Dublēšana un atjaunošana
- Lietotāju dati tiek regulāri dublēti
- Dublējumkopijas tiek šifrētas un uzglabātas atsevišķos geografiskos punktos
- Datu atjaunošanas procedūras tiek periodiski pārbaudītas
- Darbības nepārtrauktības plāni ir izstrādāti un regulāri testēti
7. Trešo pušu drošība
Trešo pušu pakalpojumu sniedzēji, kuriem ir piekļuve sistēmas datiem vai infrastruktūrai, tiek rūpīgi novērtēti pirms sadarbības uzsākšanas. Mēs pieprasām, lai partneri ievērotu drošības standartus, kas nav zemāki par mūsu pašu prasībām. Trešo pušu piekļuve tiek ierobežota tikai līdz nepieciešamajiem datiem un sistēmām.
8. Incidentu pārvaldība
8.1. Atklāšana un reaģēšana
- Drošības incidenti tiek identificēti, klasificēti un risināti pēc noteiktas procedūras
- Incidentu reaģēšanas komanda ir apmācīta un gatava rīkoties
- Incidentu risināšanas laiki tiek noteikti atbilstoši to smaguma pakāpei
8.2. Paziņošana
- Lietotāji tiks informēti par drošības incidentiem, kas ietekmē viņu datus, saprātīgā termiņā
- Paziņojumi saturēs skaidru informāciju par incidenta būtību un veiktajiem pasākumiem
- Tiek sniegti ieteikumi lietotājiem par nepieciešamajām aizsardzības darbībām
9. Ievainojamību atklāšana
Ja esat atklājis iespējamu drošības ievainojamību mūsu platformā, lūdzam nekavējoties informēt mūs. Ziņojiet par drošības problēmām rakstot uz [email protected]. Mēs apņemamies izskatīt visus ziņojumus atbildīgi un konfidenciāli.
- Iesniedziet detalizētu aprakstu par atklāto problēmu
- Neizmantojiet ievainojamību, lai piekļūtu datiem bez atļaujas
- Nedodiet informāciju par ievainojamību trešajām pusēm pirms tā ir novērsta
10. Darbinieku drošība
- Visi darbinieki tiek apmācīti drošības pamatos pirms darba uzsākšanas
- Regulāras drošības izglītošanas sesijas tiek rīkotas visiem komandas locekļiem
- Darbinieki paraksta konfidencialitātes un datu aizsardzības līgumus
- Tiek veiktas pārbaudes attiecībā uz darbiniekiem, kuriem ir piekļuve sensitīviem datiem
11. Atbilstība un pārskatīšana
Šī drošības politika tiek pārskatīta vismaz reizi gadā vai pēc būtiskiem drošības incidentiem. Mēs pastāvīgi uzraugām izmaiņas drošības standartā un labākajā praksē, lai nodrošinātu politikas aktualitāti. Visas izmaiņas politikā tiks publicētas šajā lapā ar atjauninātu datumu.
12. Saziņa
Ja jums ir jautājumi par šo drošības politiku vai mūsu drošības praksi, sazinieties ar mums:
- E-pasts: [email protected]
- Tālrunis: +371 63 628 851
- Adrese: 1905. gada iela 1, Kuldīga, LV-3301, Latvija