B E N E F A C T O R Y

Loading

Как мы обеспечиваем кибербезопасность

Мы отдаем себе отчет в том, что наши клиенты передают нам конфиденциальные данные своих сотрудников, поэтому в Бенефактори мы уделяем особое внимание вопросам информационной безопасности нашей платформы.

Для того, чтобы данные клиентов на нашей платформе были в безопасности мы внедрили систему управления информационной безопасностью. Для этого мы разработали необходимые политики и процедуры, внедрили процессы управления и настроили средства защиты.

Мы назначили ответственных за обеспечение информационной безопасности, которые регулярно проводят оценку рисков, осуществляют мониторинг средств защиты и следят за тем, чтобы все требования политик неукоснительно соблюдались сотрудниками и подрядчиками Бенефактори.  

 

Наша платформа создается и сопровождается с использованием подходов безопасной разработки. Мы отделяем производственную среду от сред разработки и тестирования. Гибко управляем доступом к средам и контролируем действия привилегированных пользователей.

Данные наших клиентов хранятся в зашифрованном виде с использованием стойких криптографических алгоритмов.

В Бенефактори внедрен режим защиты коммерческой тайны, и все наши сотрудники подписывают соглашения о неразглашении конфиденциальной информации.

Наши сотрудники регулярно повышают уровень своих знаний с помощью внутреннего обучения по информационной безопасности, а команда реагирования на инциденты периодически тренируется для обеспечения слаженной работы.

Мы предоставляем выписки из наших внутренних политик, а также версии с техническими деталями по запросу.

Мы ежегодно проходим тестирование на проникновение независимыми компаниями и используем их результаты для улучшения своей системы кибербезопасности.

Наша инфраструктура

Инфраструктура платформы Бенефактори размещена в защищенном сегменте облачного провайдера Яндекс.Облако, платформа которого имеет аттестат соответствия ИСПДн требованиям безопасности информации и персональных данных, а также выполняет все требования ФЗ-152 (УЗ-1), постановления правительства № 1119 и Приказа ФСТЭК № 21.

 

Инфраструктура Бенефактори защищена от DDoS атак специальным сервисом, который предоставляет Яндекс.Облако. Подключения клиентов к инфраструктуре проходят через web application firewall (WAF), который очищает трафик от атак на веб-приложение. Сетевые потоки во внутренней сети инфраструктуры Бенефактори управляются межсетевым экраном и проходят через систему обнаружения вторжений, которая выявляет и останавливает атаки на сетевом уровне.  

Как мы обеспечиваем соответствие требованиям законодательства

Бенефактори является оператором персональных данных в соответствии с 152-ФЗ «О персональных данных» и мы выполняем все требования, которые накладывает на нас законодательство. Вот тут можно посмотреть выписку из реестра операторов, который ведет Роскомнадзор.

 

Что мы делаем для выполнения требований законодательства:

  • У нас назначен ответственный за обработку персональных данных (Data Privacy Officer, DPO).
  • Мы разработали политику и положение по обработке и защиты персональных данных.
  • Мы подписываем с нашими клиентами поручение на обработку персональных данных и несем ответственность за обеспечение их безопасности.
  • Наши информационные системы и базы данных находятся в центрах обработки данных на территории Российской Федерации.
  • Информационные системы персональных данных прошли необходимую оценку угроз, определение уровней защищенности и в них внедрены технические средства защиты.
  • Сотрудники, допущенные к обработке персональных данных, проходят обучение и подписывают необходимые соглашения.

В Бенефактори реализована централизованная система управления доступом, в которой используются строгие правила контроля доступа. Такие правила позволяют гарантировать предоставление доступа к конфиденциальным данным только тем, кому это разрешено. Доступ привилегированных пользователей на производственную среду контролируется, а их действия проверяется. Прямое подключение к производственной платформе запрещено. Администраторы платформы используют многошаговое подключение через VPN и двухфакторную аутентификацию для доступа к консолям управления. 

Платформа Бенефактори имеет возможность интеграции с инфраструктурой клиента через технологию единого входа — Single Sign On (SSO).

Наше приложение шифрует передаваемые данные между рабочим местом сотрудника отдела кадров и нашей платформой, а также между браузером пользователя системы и платформой. При необходимости мы можем использовать программно-аппаратные VPN машрутизаторы, которые используют клиенты для интеграции с нашей инфраструктурой.  Конфиденциальные данные, которые хранятся в базах данных нашей платформы так же зашифрованы. 

Все важные элементы нашей инфраструктуры находятся под постоянным мониторингом. Для этого мы собираем с них события, связанные с безопасностью, и анализируем в централизованной системе SIEM (Security information and event management). При выявлении подозрительных событий система уведомляет администраторов информационной безопасности и они предпринимают действия по реагированию на инциденты. Реагирование осуществляется по сформированному плану и при необходимости включает в себя уведомление клиентов.

В Бенефактори разработана и внедрена политика резервирования информации, согласно которой данные клиентов резервируются на периодической основе в запасной ЦОД, который географически удален от основного.

В Бенефактори используется политика выявления и устранение уязвимостей в системном программном обеспечении. Процесс внесения изменений в производственную среду включает в себя обязательное интеграционное тестирование. Изменения в производственную среду вносятся только после успешного прохождения интеграционного тестирования.

Оставить заявку


    Оставить заявку

      Нажимая кнопку "Оставить заявку" вы принимаете "Соглашение об обработке персональных данных"

      Регистрация на вебинар




        Оставить заявку

          Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
          Принять
          Политика конфиденциальности