Безпека від Selzy
1. Вступ
SELZY (далі – «Компанія» або Selzy) прагне підтримувати найвищі стандарти безпеки та конфіденційності даних. У цьому документі описано всеосяжні заходи, що вживаються Компанією для захисту даних клієнтів і дотримання вимог чинного законодавства.
2. Заходи щодо захисту та безпеки даних
2.1 Безпека інфраструктури
2.1.1 Об’єкти центрів обробки даних
Компанія використовує найсучасніші центри обробки даних від Amazon AWS, (TET) Lattelecom і Hetzner, які дотримуються суворих протоколів безпеки, включаючи, серед іншого, наступне:
- сертифікація за стандартом ISO 27001
- постійний моніторинг і спостереження (24 години на добу, 7 днів на тиждень, 365 днів на рік)
- управління доступом за біометричними параметрами та захисні тамбур-шлюзи
- резервні джерела електропостачання та системи охолодження для забезпечення безперебійної роботи
- контроль за станом навколишнього середовища, включаючи системи пожежогасіння та регулювання температури
- регулярні зовнішні аудити заходів фізичного захисту
2.1.2 Протоколи мережевої безпеки
Компанія застосовує багаторівневий підхід до мережевої безпеки, що охоплює таке:
- сучасні міжмережеві екрани та комутатори на всіх точках передачі даних
- шифрування даних під час передачі (2048-бітний TLS 1.2 або вище) та під час зберігання (AES-256)
- надійні заходи щодо зниження ризику розподілених атак типу «відмова в обслуговуванні» (DDoS)
- регулярне сканування мережі на наявність вразливостей і тестування на захист від несанкціонованого доступу
- системи виявлення та запобігання спробам проникнення (IDS/IPS)
- віртуальну захищену мережу (VPN) для безпечного віддаленого доступу
2.2 Безпека програм
2.2.1 Життєвий цикл безпечної розробки
Selzy інтегрує заходи безпеки протягом усього процесу розробки програмного забезпечення, включаючи наступне:
- обов’язкова експертна оцінка програми та автоматизоване оцінювання її захищеності
- процеси безперервної інтеграції та безперервного розгортання програм, а також тестування системи безпеки на наявність вразливостей
- регулярне тестування на захист від несанкціонованого доступу сторонніх осіб для виявлення та усунення потенційних вразливостей
- навчання всіх розробників методам захисного кодування
- використання інструментів статичного та динамічного тестування безпеки програм
- регулярні перевірки засобів безпеки на сторонні бібліотеки та залежності
2.2.2 Механізми автентифікації та контролю доступу
Для забезпечення санкціонованого доступу до даних Selzy впроваджує:
- рольове керування доступом (RBAC) для дотримання принципу мінімальних привілеїв
- сумісність системи єдиного входу (SSO) з основними постачальниками ідентифікаційних даних
3. Операційна безпека
3.1 Моніторинг і реагування на інциденти
Selzy здійснює пильний нагляд за своїми системами за допомогою:
- спеціального цілодобового центру моніторингу інформаційної безпеки (SOC)
- всебічного журналювання та моніторингу всіх системних дій
- детального плану реагування на інциденти із заздалегідь визначеними процедурами для різних сценаріїв безпеки
- регулярних навчань з реагування на інциденти та теоретичних тренінгів
- автоматизованих систем оповіщення про аномальну діяльність
- можливостей ретроспективного аналізу для ретельного розслідування інцидентів
3.2 Навчання працівників і підвищення обізнаності щодо безпеки
Компанія підтримує культуру обізнаності щодо безпеки завдяки наступним діям:
- регулярні рекомендації з питань безпеки та тренінги щодо загроз соціальної інженерії для всіх співробітників
- періодичні імітаційні навчання з приводу фішингових атак
- ретельні спеціальні перевірки всіх нових працівників
- чітке роз’яснення всім працівникам про правила та порядок забезпечення безпеки
- дисциплінарні заходи за недотримання правили забезпечення безпеки
3.3 Резервне копіювання та відновлення даних
Для забезпечення цілісності та доступності даних Selzy впроваджує наступні заходи:
- регулярне автоматизоване резервне копіювання всіх важливих даних
- географічно розподіляє місця зберігання резервних копій
- реалізує політику збереження даних відповідно до вимог законодавчих і нормативних актів
- плани безперервності бізнес-процесів та аварійного відновлення
4. Конфіденційність і відповідність GDPR
Як компанія, що базується в ЄС, Selzy суворо дотримується Загального регламенту про захист персональних даних (GDPR), включаючи:
- впровадження принципів конфіденційності за замовчуванням при розробці продуктів
- регулярний перегляд і оновлення угод із клієнтами та постачальниками з метою дотримання вимог GDPR
- створення міжвідомчої робочої групи з питань GDPR
- постійну розробку нових продуктів і технологічні нововведення для забезпечення відповідності вимогам GDPR
- запроваджені процедури виявлення, звітування та розслідування випадків витоку персональних даних
- призначення особи, відповідальної за захист даних (DPO)
- ведення записів щодо обробки даних (RoPA)
- оцінювання впливу на захист даних (DPIA), коли це необхідно
- надання суб’єктам даних механізмів для здійснення своїх прав відповідно до GDPR
Більше інформації про дотримання політики конфіденційності можна отримати на сайті: https://selzy.com/en/legal/gdpr/
5. Постійне вдосконалення
Selzy прагне постійно вдосконалювати свої заходи щодо безпеки та конфіденційності шляхом наступних дій:
- регулярні перегляди та оновлення цієї політики
- отримання інформації про нові загрози та найбільш ефективні методи роботи щодо забезпечення інформаційної безпеки
- отримання зворотного зв’язку від клієнтів і працівників із питань безпеки та конфіденційності
6. Застереження
Цей документ є загальним оглядом заходів безпеки та конфіденційності, що застосовуються Компанією. Selzy залишає за собою право змінювати ці методи в міру необхідності для підтримки найвищого рівня захисту даних. Клієнтам рекомендується проконсультуватися зі своїм юристом, щоб визначити застосовність цих заходів до їхніх конкретних обставин.