Головна / Юридичні документи / Безпека від Selzy

Безпека від Selzy

1. Вступ

SELZY (далі – «Компанія» або Selzy) прагне підтримувати найвищі стандарти безпеки та конфіденційності даних. У цьому документі описано всеосяжні заходи, що вживаються Компанією для захисту даних клієнтів і дотримання вимог чинного законодавства.

2. Заходи щодо захисту та безпеки даних

2.1 Безпека інфраструктури

2.1.1 Об’єкти центрів обробки даних

Компанія використовує найсучасніші центри обробки даних від Amazon AWS, (TET) Lattelecom і Hetzner, які дотримуються суворих протоколів безпеки, включаючи, серед іншого, наступне:

сертифікація за стандартом ISO 27001
постійний моніторинг і спостереження (24 години на добу, 7 днів на тиждень, 365 днів на рік)
управління доступом за біометричними параметрами та захисні тамбур-шлюзи
резервні джерела електропостачання та системи охолодження для забезпечення безперебійної роботи
контроль за станом навколишнього середовища, включаючи системи пожежогасіння та регулювання температури
регулярні зовнішні аудити заходів фізичного захисту

2.1.2 Протоколи мережевої безпеки

Компанія застосовує багаторівневий підхід до мережевої безпеки, що охоплює таке:

сучасні міжмережеві екрани та комутатори на всіх точках передачі даних
шифрування даних під час передачі (2048-бітний TLS 1.2 або вище) та під час зберігання (AES-256)
надійні заходи щодо зниження ризику розподілених атак типу «відмова в обслуговуванні» (DDoS)
регулярне сканування мережі на наявність вразливостей і тестування на захист від несанкціонованого доступу
системи виявлення та запобігання спробам проникнення (IDS/IPS)
віртуальну захищену мережу (VPN) для безпечного віддаленого доступу

2.2 Безпека програм

2.2.1 Життєвий цикл безпечної розробки

Selzy інтегрує заходи безпеки протягом усього процесу розробки програмного забезпечення, включаючи наступне:

обов’язкова експертна оцінка програми та автоматизоване оцінювання її захищеності
процеси безперервної інтеграції та безперервного розгортання програм, а також тестування системи безпеки на наявність вразливостей
регулярне тестування на захист від несанкціонованого доступу сторонніх осіб для виявлення та усунення потенційних вразливостей
навчання всіх розробників методам захисного кодування
використання інструментів статичного та динамічного тестування безпеки програм
регулярні перевірки засобів безпеки на сторонні бібліотеки та залежності

2.2.2 Механізми автентифікації та контролю доступу

Для забезпечення санкціонованого доступу до даних Selzy впроваджує:

рольове керування доступом (RBAC) для дотримання принципу мінімальних привілеїв
сумісність системи єдиного входу (SSO) з основними постачальниками ідентифікаційних даних

3. Операційна безпека

3.1 Моніторинг і реагування на інциденти

Selzy здійснює пильний нагляд за своїми системами за допомогою:

спеціального цілодобового центру моніторингу інформаційної безпеки (SOC)
всебічного журналювання та моніторингу всіх системних дій
детального плану реагування на інциденти із заздалегідь визначеними процедурами для різних сценаріїв безпеки
регулярних навчань з реагування на інциденти та теоретичних тренінгів
автоматизованих систем оповіщення про аномальну діяльність
можливостей ретроспективного аналізу для ретельного розслідування інцидентів

3.2 Навчання працівників і підвищення обізнаності щодо безпеки

Компанія підтримує культуру обізнаності щодо безпеки завдяки наступним діям:

регулярні рекомендації з питань безпеки та тренінги щодо загроз соціальної інженерії для всіх співробітників
періодичні імітаційні навчання з приводу фішингових атак
ретельні спеціальні перевірки всіх нових працівників
чітке роз’яснення всім працівникам про правила та порядок забезпечення безпеки
дисциплінарні заходи за недотримання правили забезпечення безпеки

3.3 Резервне копіювання та відновлення даних

Для забезпечення цілісності та доступності даних Selzy впроваджує наступні заходи:

регулярне автоматизоване резервне копіювання всіх важливих даних
географічно розподіляє місця зберігання резервних копій
реалізує політику збереження даних відповідно до вимог законодавчих і нормативних актів
плани безперервності бізнес-процесів та аварійного відновлення

4. Конфіденційність і відповідність GDPR

Як компанія, що базується в ЄС, Selzy суворо дотримується Загального регламенту про захист персональних даних (GDPR), включаючи:

впровадження принципів конфіденційності за замовчуванням при розробці продуктів
регулярний перегляд і оновлення угод із клієнтами та постачальниками з метою дотримання вимог GDPR
створення міжвідомчої робочої групи з питань GDPR
постійну розробку нових продуктів і технологічні нововведення для забезпечення відповідності вимогам GDPR
запроваджені процедури виявлення, звітування та розслідування випадків витоку персональних даних
призначення особи, відповідальної за захист даних (DPO)
ведення записів щодо обробки даних (RoPA)
оцінювання впливу на захист даних (DPIA), коли це необхідно
надання суб’єктам даних механізмів для здійснення своїх прав відповідно до GDPR

Більше інформації про дотримання політики конфіденційності можна отримати на сайті: https://selzy.com/en/legal/gdpr/

5. Постійне вдосконалення

Selzy прагне постійно вдосконалювати свої заходи щодо безпеки та конфіденційності шляхом наступних дій:

регулярні перегляди та оновлення цієї політики
отримання інформації про нові загрози та найбільш ефективні методи роботи щодо забезпечення інформаційної безпеки
отримання зворотного зв’язку від клієнтів і працівників із питань безпеки та конфіденційності

6. Застереження

Цей документ є загальним оглядом заходів безпеки та конфіденційності, що застосовуються Компанією. Selzy залишає за собою право змінювати ці методи в міру необхідності для підтримки найвищого рівня захисту даних. Клієнтам рекомендується проконсультуватися зі своїм юристом, щоб визначити застосовність цих заходів до їхніх конкретних обставин.