Bezpieczeństwo

Bezpieczna infrastruktura

Nasze usługi są hostowane na infrastrukturze Amazon Web Services (AWS). Nie hostujemy ani nie prowadzimy własnych routerów, równoważników obciążenia, serwerów DNS ani serwerów fizycznych. Centra danych Amazon posiadają całodobową ochronę, biometryczną kontrolę dostępu, monitoring wideo i fizyczne zamki. Wszystkie systemy, urządzenia sieciowe i obwody są stale monitorowane. Obiekty AWS posiadają akredytację ISO 27001, SOC 1 i SOC 2/SSAE 16/ISAE 3402 (wcześniej SAS 70 Type II), PCI Level 1, FISMA Moderate i Sarbanes-Oxley (SOX). Dowiedz się więcej o bezpieczeństwie AWS.

Hosting w USA lub UE – Twój wybór

Stany Zjednoczone – obsługiwane przez centra danych i podprocesorów zlokalizowanych w USA, z naszymi głównymi usługami hostowanymi w Północnej Wirginii; oraz Unia Europejska – obsługiwane przez centra danych i podprocesorów zlokalizowanych wyłącznie w krajach członkowskich UE, z naszymi głównymi usługami hostowanymi we Frankfurcie w Niemczech.

Zawsze szyfrowane

Szyfrowanie w transporcie – Wszystkie dane wysyłane do lub z naszej infrastruktury są szyfrowane w transporcie za pomocą najlepszych praktyk branżowych, wykorzystując Transport Layer Security (TLS 1.2 lub 1.3). Nasza konfiguracja SSL otrzymuje ocenę bezpieczeństwa A+ od Qualys SSL Labs.

Szyfrowanie w spoczynku – Wszystkie dane naszych użytkowników są szyfrowane w naszych bazach danych za pomocą sprawdzonego algorytmu szyfrowania AES256.

Bezpieczne płatności

Nasza platforma jest zgodna z PCI DSS, co zapewnia bezpieczne przetwarzanie danych płatniczych dzięki wiodącym w branży środkom ochrony i zgodności. Nie zajmujemy się obsługą ani przechowywaniem numerów kart kredytowych – dane Twojej karty są bezpośrednio przechwytywane i bezpiecznie przechowywane przez Braintree (firmę PayPal), naszego dostawcę płatności. Braintree posiada certyfikat zgodności z PCI Level 1 i jest wymieniony jako Visa® Global Compliant Provider oraz MasterCard® Compliant Provider (SDP). Dowiedz się więcej o bezpieczeństwie i zgodności Braintree.

Monitorowanie bezpieczeństwa aplikacji

• Używamy rozwiązania do monitorowania bezpieczeństwa, aby uzyskać wgląd w bezpieczeństwo naszych aplikacji, identyfikować ataki i szybko reagować na naruszenia danych.
• Używamy technologii do monitorowania wyjątków, logów i wykrywania anomalii w naszych aplikacjach.
• Zbieramy i przechowujemy kompleksowe logi, aby zapewnić ścieżkę audytu aktywności naszych aplikacji. Nasze logi są często przeglądane przez nasz zespół bezpieczeństwa w celu identyfikacji anomalii.
• Zdarzenia bezpieczeństwa są rejestrowane, a powiadomienia wysyłane w przypadku krytycznych ataków, aby umożliwić szybkie usunięcie problemu.

Ochrona bezpieczeństwa aplikacji

• Używamy Amazon Web Application Firewall, aby chronić naszych użytkowników przed szeroką gamą luk w zabezpieczeniach. AWS WAF integruje ochronę przed najbardziej krytycznymi kategoriami ataków, takimi jak wstrzykiwanie SQL i skrypty międzywitrynowe. Blokuje ataki w czasie rzeczywistym i ostrzega nas, gdy atakujący zaczynają obciążać nasze aplikacje.
• Używamy nagłówków bezpieczeństwa, aby chronić naszych użytkowników przed atakami. Nasze usługi otrzymały ocenę A+ od SecurityHeaders.io.

Zarządzanie incydentami

Raportowanie przestojów

Klienci korporacyjni mogą wybrać opcję otrzymywania powiadomień o wszelkich problemach drogą mailową. Nasza platforma hostingowa zazwyczaj eliminuje potrzebę przestojów, gdy wprowadzamy zmiany w naszych usługach. Jednakże, powiadomimy klientów drogą mailową z co najmniej 24-godzinnym wyprzedzeniem o wszelkich planowanych przestojach.

Twoja prywatność chroniona

Twoje dane pozostają Twoją własnością; i są dostępne tylko dla tych, którym zdecydujesz się je udostępnić. TeamRetro (i zespół GroupMap Technology) może uzyskać dostęp do Twoich danych tylko w ograniczonych okolicznościach, takich jak wymagane przez prawo lub w celu zapewnienia wsparcia technicznego. Pełne szczegóły można znaleźć w Polityce Prywatności TeamRetro.

Przechowywanie i usuwanie danych

Przechowujemy dane naszych użytkowników przez okres 365 dni po zakończeniu ich okresu próbnego lub subskrypcji. Wszystkie dane są następnie całkowicie usuwane z aplikacji. Użytkownicy mogą zażądać usunięcia danych w dowolnym momencie, usuwając swoje konto lub kontaktując się z obsługą TeamRetro. Więcej informacji na temat naszych ustawień prywatności znajdziesz w naszej Polityce Prywatności.

Ciągłość działania i odzyskiwanie po awarii

Tworzymy kopie zapasowe wszystkich naszych krytycznych zasobów i regularnie próbujemy przywracać kopie zapasowe, aby zagwarantować szybkie odzyskiwanie w przypadku awarii. Pełną kopię zapasową danych klienta wykonujemy co 24 godziny. Kopie zapasowe są bezpiecznie szyfrowane i przechowywane przez 30 dni, po czym są bezpiecznie niszczone. Opracowaliśmy plany ciągłości działania i odzyskiwania po awarii i przeglądamy je corocznie.

Jednokrotne logowanie

Jednokrotne logowanie (SSO) za pośrednictwem Twojego dostawcy tożsamości SAML (IdP) jest dostępne dla wszystkich klientów TeamRetro.

Hasła – chronione

Hasła TeamRetro są przechowywane z solą i kryptograficznie haszowane za pomocą najnowocześniejszego algorytmu bcrypt. TeamRetro wymusza minimalne wymagania dotyczące złożoności haseł, używając biblioteki ZXCVBN firmy Dropbox, zapewniając, że hasła są bezpiecznie niemożliwe do odgadnięcia i złamania.

Weryfikacja konta

Użytkownicy są zobowiązani do zweryfikowania własności adresu e-mail za pośrednictwem linku dostarczonego w automatycznej wiadomości e-mail przed użyciem konta TeamRetro. Wszyscy użytkownicy muszą zostać uwierzytelnieni przed uzyskaniem dostępu do danych klienta.

Ochrona przed przejęciem konta

Chronimy naszych użytkowników przed naruszeniami danych, monitorując i blokując ataki brute force.

Uwierzytelnianie dwuskładnikowe

Umożliwiamy uwierzytelnianie dwuskładnikowe za pośrednictwem Google lub Twojego SAML IdP, aby chronić przed atakami przejęcia konta.

Kontrola dostępu oparta na rolach

Zaawansowana kontrola dostępu oparta na rolach (RBAC) jest oferowana na wszystkich kontach.

Biała lista IP

Po skonfigurowaniu i wdrożeniu, każda próba dostępu do konta spoza dozwolonych zakresów zostanie zablokowana. Daje to organizacjom ściślejszą kontrolę nad tym, jak i gdzie ich zespoły uzyskują dostęp do TeamRetro.

Monitorowanie podejrzanych zachowań użytkowników

Używamy Datadog do monitorowania podejrzanych zachowań i szybkiego reagowania w przypadku przejęcia konta. Chroni to również klientów przed kradzieżą danych, blokując ataki typu credential stuffing lub brute force.

Bezpieczne kodowanie

Nasi deweloperzy są zobowiązani do przestrzegania naszej formalnie udokumentowanej Polityki Bezpieczeństwa Aplikacji oraz do stosowania najlepszych praktyk i ram bezpieczeństwa (OWASP Top 10, SANS Top 25). Stosujemy następujące najlepsze praktyki, aby zapewnić najwyższy poziom bezpieczeństwa w naszym oprogramowaniu:

• Deweloperzy uczestniczą w regularnych szkoleniach z zakresu bezpieczeństwa, aby dowiedzieć się o typowych lukach i zagrożeniach
• Przeglądamy nasz kod pod kątem luk w zabezpieczeniach
• Regularnie aktualizujemy nasze zależności i upewniamy się, że żadna z nich nie ma znanych luk w zabezpieczeniach
• Używamy statycznego testowania bezpieczeństwa aplikacji (SAST) do wykrywania podstawowych luk w zabezpieczeniach w naszej bazie kodu
• Używamy dynamicznego testowania bezpieczeństwa aplikacji (DAST) do skanowania naszych aplikacji
• Dzięki Datadog możemy skuteczniej usuwać luki w zabezpieczeniach, które zostały wykryte podczas testów bezpieczeństwa, audytów lub programu ujawniania luk. Jesteśmy również ostrzegani, gdy w produkcji używane są komponenty aplikacji ze znanymi lukami (zależności).

Skanowanie podatności

TeamRetro jest skanowane co miesiąc, a także po znaczących wydaniach, przez intruder.io w celu identyfikacji potencjalnych luk w infrastrukturze, platformie i aplikacji. Wszelkie zidentyfikowane luki są klasyfikowane i usuwane zgodnie z naszymi politykami bezpieczeństwa aplikacji.

Testy penetracyjne

Okresowo zlecamy niezależne testy penetracyjne, weryfikując bezpieczeństwo platformy TeamRetro. Wszystkie krytyczne problemy usuwamy w ciągu 48 godzin, a problemy o wysokiej ważności w ciągu 7 dni.

Oceny ryzyka

Coroczna ocena ryzyka jest przeprowadzana w celu identyfikacji zagrożeń i luk w systemach TeamRetro. Strategie łagodzenia ryzyka są opracowywane na podstawie wyników oceny ryzyka.

Wzmacnianie systemu

KONTEINERYZACJA SERWERÓW – TeamRetro wykorzystuje konteneryzację systemu operacyjnego za pośrednictwem AWS Fargate, aby zapewnić odpowiednie ograniczenie dostępu do danych i kodu TeamRetro. Wszystkie usługi TeamRetro działają na dedykowanych zasobach obliczeniowych izolowanych we własnej wirtualnej sieci.

ULOTNE SYSTEMY PLIKÓW SERWERÓW – Serwery TeamRetro działają na ulotnym systemie plików, przywracanym do świeżej kopii ostatnio wdrożonego kodu co najmniej raz dziennie lub za każdym razem, gdy wdrażana jest nowa wersja.

ŁATANIE SYSTEMU – Łatanie na poziomie platformy (system operacyjny, biblioteki systemowe i usługi) serwerów aplikacji i baz danych TeamRetro odbywa się na bieżąco.

Kompleksowe logowanie

Prowadzimy kompleksowe logi każdej transakcji w systemie; ze szczególnym logowaniem prób logowania. Nasze logi są często przeglądane przez nasz zespół bezpieczeństwa w celu identyfikacji prób nieautoryzowanego dostępu.

Dostęp naszego zespołu

• Nasza ścisła wewnętrzna procedura uniemożliwia jakiemukolwiek pracownikowi lub administratorowi uzyskanie dostępu do danych użytkownika. Możemy uzyskać dostęp do Twoich danych tylko w ograniczonych okolicznościach, takich jak wymagane przez prawo lub w celu zapewnienia wsparcia technicznego. Pełne szczegóły można znaleźć w naszej Polityce Prywatności.
• Nasi pracownicy i kontrahenci podpisują Umowę o zachowaniu poufności, aby chronić wrażliwe informacje naszych klientów.
• Nasi pracownicy i kontrahenci są sprawdzani przez wiodącą usługę weryfikacji przeszłości.
• Poziom dostępu każdego z naszych pracowników jest określany na podstawie potrzeb, okresowo przeglądany i odwoływany, jeśli nie jest już konieczny. Wymuszamy uwierzytelnianie wieloskładnikowe dla wszystkich krytycznych systemów TeamRetro.
• Uwierzytelnianie dwuskładnikowe jest wymagane do dostępu administracyjnego.

Odpowiedzialne ujawnianie

Zachęcamy wszystkich, którzy praktykują odpowiedzialne ujawnianie i przestrzegają naszych zasad i warunków świadczenia usług, do udziału w naszym programie ujawniania luk. Prosimy unikać automatycznego testowania i wykonywać testy bezpieczeństwa tylko na własnych danych. Prosimy nie ujawniać żadnych informacji dotyczących luk, dopóki ich nie naprawimy. Nagrody są przyznawane według naszego uznania, w zależności od krytyczności zgłoszonej luki. Dowiedz się więcej o programie odpowiedzialnego ujawniania TeamRetro.