Организационная безопасность
Программа информационной безопасности
- У нас есть программа информационной безопасности, которая доведена до сведения всей организации. Наша программа информационной безопасности соответствует критериям, установленным SOC 2 Framework. SOC 2 - широко известная процедура аудита информационной безопасности, разработанная Американским институтом сертифицированных общественных бухгалтеров.
Аудиты третьих сторон
- Наша организация проходит независимые оценки третьих сторон для проверки наших средств защиты и контроля соответствия требованиям.
Тестирование на проникновение третьих сторон
- Мы проводим независимое тестирование на проникновение третьих сторон не реже одного раза в год, чтобы убедиться, что уровень безопасности наших услуг не нарушен.
Ролии обязанности
- Роли и обязанности, связанные с нашей программой информационной безопасности и защитой данных наших клиентов, четко определены и документированы. Члены нашей команды обязаны изучить и принять все политики безопасности.
Обучение по вопросам безопасности
- Члены нашей команды обязаны пройти обучение по вопросам безопасности, охватывающее стандартные отраслевые практики и темы информационной безопасности, такие как фишинг и управление паролями.
Конфиденциальность
- Все члены команды обязаны подписать и соблюдать стандартное отраслевое соглашение о конфиденциальности перед первым днем работы.
Проверка биографии
- Мы проводим проверку биографии всех новых членов команды в соответствии с местным законодательством.
Облачная безопасность
Безопасность облачной инфраструктуры
- Все наши сервисы размещаются в Amazon Web Services (AWS) и Google Cloud Platform (GCP). Они используют надежную программу обеспечения безопасности, имеющую множество сертификатов. Более подробную информацию о процессах обеспечения безопасности нашего провайдера можно найти на сайтах AWS Security и GCP Security.
DataHosting Security
- Все наши данные размещаются на базах данных Amazon Web Services (AWS) и Google Cloud Platform (GCP). Все эти базы данных расположены в США. Более подробная информация приведена в документации по конкретным поставщикам.
Encryptionat Rest
- Все базы данных зашифрованы в состоянии покоя.
Encryptionin Transit
- Наши приложения шифруются при передаче данных только с помощью TLS/SSL.
VulnerabilityScanning
- Мы проводим сканирование уязвимостей и активно отслеживаем угрозы.
Логированиеи мониторинг
- Мы активно отслеживаем и регистрируем различные облачные сервисы.
Непрерывность бизнесаи аварийное восстановление
- Мы используем услуги резервного копирования нашего хостинг-провайдера, чтобы снизить риск потери данных в случае отказа оборудования. Мы используем услуги мониторинга для оповещения команды в случае возникновения сбоев, затрагивающих пользователей.
Ответственность за инциденты
- Унас есть процесс обработки событий информационной безопасности, включающий процедуры эскалации, быстрого устранения последствий и коммуникации.
Безопасность доступа
Разрешения и аутентификация
- Доступ к облачной инфраструктуре и другим конфиденциальным инструментам ограничивается уполномоченными сотрудниками, которым это необходимо для выполнения их функций. Там, где это возможно, мы используем единый вход (SSO), двухфакторную аутентификацию (2FA) и строгие политики паролей для обеспечения защиты доступа к облачным сервисам.
Контроль доступа с наименьшимипривилегиями
- Мы следуем принципу наименьших привилегий в отношении управления идентификацией и доступом.
Ежеквартальныепроверки доступа
- Мы проводим ежеквартальные проверки доступа всех членов команды, имеющих доступ к чувствительным системам.
Требования к паролям
- Все члены команды обязаны соблюдать минимальный набор требований к паролям и их сложности для доступа.
Менеджеры паролей
- На всех ноутбуках, выданных компанией, используется менеджер паролей для членов команды для управления паролями и поддержания их сложности.
Управление поставщиками и рисками
Ежегодная оценка рисков
- Мы проводим как минимум ежегодную оценку рисков с целью выявления любых потенциальных угроз, включая возможность мошенничества.
Управление рисками поставщиков
- Перед авторизацией нового поставщика определяется его риск и проводятся соответствующие проверки.
Контакты
Еслиу вас есть вопросы, комментарии или опасения, или вы хотите сообщить о потенциальной проблеме безопасности, пожалуйста, свяжитесь с security@joor.com.
