Как мы обеспечиваем кибербезопасность
Мы отдаем себе отчет в том, что наши клиенты передают нам конфиденциальные данные своих сотрудников, поэтому в Бенефактори мы уделяем особое внимание вопросам информационной безопасности нашей платформы.
Для того, чтобы данные клиентов на нашей платформе были в безопасности мы внедрили систему управления информационной безопасностью. Для этого мы разработали необходимые политики и процедуры, внедрили процессы управления и настроили средства защиты.
Мы назначили ответственных за обеспечение информационной безопасности, которые регулярно проводят оценку рисков, осуществляют мониторинг средств защиты и следят за тем, чтобы все требования политик неукоснительно соблюдались сотрудниками и подрядчиками Бенефактори.
Наша платформа создается и сопровождается с использованием подходов безопасной разработки. Мы отделяем производственную среду от сред разработки и тестирования. Гибко управляем доступом к средам и контролируем действия привилегированных пользователей.
Данные наших клиентов хранятся в зашифрованном виде с использованием стойких криптографических алгоритмов.
В Бенефактори внедрен режим защиты коммерческой тайны, и все наши сотрудники подписывают соглашения о неразглашении конфиденциальной информации.
Наши сотрудники регулярно повышают уровень своих знаний с помощью внутреннего обучения по информационной безопасности, а команда реагирования на инциденты периодически тренируется для обеспечения слаженной работы.
Мы предоставляем выписки из наших внутренних политик, а также версии с техническими деталями по запросу.
Мы ежегодно проходим тестирование на проникновение независимыми компаниями и используем их результаты для улучшения своей системы кибербезопасности.
Наша инфраструктура
Инфраструктура платформы Бенефактори размещена в защищенном сегменте облачного провайдера Яндекс.Облако, платформа которого имеет аттестат соответствия ИСПДн требованиям безопасности информации и персональных данных, а также выполняет все требования ФЗ-152 (УЗ-1), постановления правительства № 1119 и Приказа ФСТЭК № 21.
Инфраструктура Бенефактори защищена от DDoS атак специальным сервисом, который предоставляет Яндекс.Облако. Подключения клиентов к инфраструктуре проходят через web application firewall (WAF), который очищает трафик от атак на веб-приложение. Сетевые потоки во внутренней сети инфраструктуры Бенефактори управляются межсетевым экраном и проходят через систему обнаружения вторжений, которая выявляет и останавливает атаки на сетевом уровне.
Как мы обеспечиваем соответствие требованиям законодательства
Бенефактори является оператором персональных данных в соответствии с 152-ФЗ «О персональных данных» и мы выполняем все требования, которые накладывает на нас законодательство. Вот тут можно посмотреть выписку из реестра операторов, который ведет Роскомнадзор.
Что мы делаем для выполнения требований законодательства:
- У нас назначен ответственный за обработку персональных данных (Data Privacy Officer, DPO).
- Мы разработали политику и положение по обработке и защиты персональных данных.
- Мы подписываем с нашими клиентами поручение на обработку персональных данных и несем ответственность за обеспечение их безопасности.
- Наши информационные системы и базы данных находятся в центрах обработки данных на территории Российской Федерации.
- Информационные системы персональных данных прошли необходимую оценку угроз, определение уровней защищенности и в них внедрены технические средства защиты.
- Сотрудники, допущенные к обработке персональных данных, проходят обучение и подписывают необходимые соглашения.
В Бенефактори реализована централизованная система управления доступом, в которой используются строгие правила контроля доступа. Такие правила позволяют гарантировать предоставление доступа к конфиденциальным данным только тем, кому это разрешено. Доступ привилегированных пользователей на производственную среду контролируется, а их действия проверяется. Прямое подключение к производственной платформе запрещено. Администраторы платформы используют многошаговое подключение через VPN и двухфакторную аутентификацию для доступа к консолям управления.
Платформа Бенефактори имеет возможность интеграции с инфраструктурой клиента через технологию единого входа — Single Sign On (SSO).
Наше приложение шифрует передаваемые данные между рабочим местом сотрудника отдела кадров и нашей платформой, а также между браузером пользователя системы и платформой. При необходимости мы можем использовать программно-аппаратные VPN машрутизаторы, которые используют клиенты для интеграции с нашей инфраструктурой. Конфиденциальные данные, которые хранятся в базах данных нашей платформы так же зашифрованы.
Все важные элементы нашей инфраструктуры находятся под постоянным мониторингом. Для этого мы собираем с них события, связанные с безопасностью, и анализируем в централизованной системе SIEM (Security information and event management). При выявлении подозрительных событий система уведомляет администраторов информационной безопасности и они предпринимают действия по реагированию на инциденты. Реагирование осуществляется по сформированному плану и при необходимости включает в себя уведомление клиентов.
В Бенефактори разработана и внедрена политика резервирования информации, согласно которой данные клиентов резервируются на периодической основе в запасной ЦОД, который географически удален от основного.
В Бенефактори используется политика выявления и устранение уязвимостей в системном программном обеспечении. Процесс внесения изменений в производственную среду включает в себя обязательное интеграционное тестирование. Изменения в производственную среду вносятся только после успешного прохождения интеграционного тестирования.
Москва, 3-я ул. Ямского поля, дом 2, корпус 7, офис 116
Все права защищены © 2022 Cайт разработан в Agency-5