Bezpieczeństwo

Bezpieczna infrastruktura

Nasze usługi są hostowane w ramach infrastruktury Amazon Web Services (AWS). Nie hostujemy ani nie obsługujemy własnych routerów, urządzeń równoważących obciążenie, serwerów DNS ani serwerów fizycznych. Centra danych Amazon są wyposażone w całodobową ochronę, biometryczną kontrolę dostępu, monitoring wizyjny oraz fizyczne zamki. Wszystkie systemy, urządzenia sieciowe i obwody są stale monitorowane. Obiekty AWS posiadają certyfikaty zgodności z normami ISO 27001, SOC 1 i SOC 2/SSAE 16/ISAE 3402 (wcześniej SAS 70 Type II), PCI Level 1, FISMA Moderate oraz Sarbanes-Oxley (SOX). Dowiedz się więcej o bezpieczeństwie AWS.

Serwery w USA lub UE – do Państwa wyboru

Stany Zjednoczone – obsługiwane przez centra danych i podwykonawców przetwarzających dane z siedzibą w USA, przy czym nasze główne usługi są hostowane w północnej Wirginii; oraz Unia Europejska – obsługiwana przez centra danych i podwykonawców przetwarzających dane zlokalizowanych wyłącznie w państwach członkowskich UE, przy czym nasze główne usługi są hostowane we Frankfurcie w Niemczech.

Zawsze szyfrowane

Szyfrowanie podczas przesyłania – Wszystkie dane przesyłane do lub z naszej infrastruktury są szyfrowane podczas przesyłania zgodnie z najlepszymi praktykami branżowymi przy użyciu protokołu Transport Layer Security (TLS 1.2 lub 1.3). Nasza konfiguracja SSL otrzymała ocenę bezpieczeństwa A+ od Qualys SSL Labs.

Szyfrowanie danych w spoczynku – Wszystkie dane naszych użytkowników są szyfrowane w naszych bazach danych przy użyciu sprawdzonego w praktyce algorytmu szyfrowania AES-256.

Bezpieczne płatności

Nasza platforma jest zgodna z normą PCI DSS, co gwarantuje bezpieczne przetwarzanie danych płatniczych dzięki wiodącym w branży środkom ochrony i zapewnienia zgodności. Nie zajmujemy się przetwarzaniem ani przechowywaniem numerów kart kredytowych – dane Państwa kart są bezpośrednio rejestrowane i bezpiecznie przechowywane przez Braintree (spółkę należącą do PayPal), naszego dostawcę usług płatniczych. Braintree posiada certyfikat zgodności z PCI Level 1 oraz figuruje na liście dostawców zgodnych z Visa® Global Compliant Provider i MasterCard® Compliant Provider (SDP). Dowiedz się więcej o bezpieczeństwie i zgodności Braintree.

Monitorowanie bezpieczeństwa aplikacji

• Korzystamy z rozwiązania do monitorowania bezpieczeństwa, aby uzyskać wgląd w stan bezpieczeństwa naszych aplikacji, wykrywać ataki i szybko reagować na naruszenia bezpieczeństwa danych.
• Wykorzystujemy technologie do monitorowania wyjątków i logów oraz wykrywania anomalii w naszych aplikacjach.
• Gromadzimy i przechowujemy szczegółowe logi, aby zapewnić ścieżkę audytu dotyczącą aktywności naszych aplikacji. Nasze logi są regularnie analizowane przez nasz zespół ds. bezpieczeństwa w celu wykrywania nieprawidłowości.
• Zdarzenia związane z bezpieczeństwem są rejestrowane, a w przypadku poważnych ataków wysyłane są powiadomienia, co pozwala na szybkie podjęcie działań naprawczych.

Ochrona bezpieczeństwa aplikacji

• Korzystamy z usługi Amazon Web Application Firewall, aby chronić naszych użytkowników przed szeroką gamą zagrożeń. AWS WAF zapewnia ochronę przed najpoważniejszymi rodzajami ataków, takimi jak wstrzyknięcia kodu SQL i skrypty międzywitrynowe. Blokuje ataki w czasie rzeczywistym i ostrzega nas, gdy atakujący zaczynają obciążać nasze aplikacje.
• Wykorzystujemy nagłówki zabezpieczeń, aby chronić naszych użytkowników przed atakami. Nasze usługi otrzymały ocenę A+ od serwisu SecurityHeaders.io.

Zarządzanie incydentami

Podejrzane incydenty związane z bezpieczeństwem, w tym wszelkie naruszenia bezpieczeństwa logicznego i fizycznego, są rejestrowane w systemie zgłoszeń, monitorowane i rozwiązywane zgodnie z naszą polityką i procedurami reagowania na incydenty. W przypadkach wymaganych przez obowiązujące prawo, w tym unijną ustawę o cyberodporności, powiadamiamy odpowiednie organy (takie jak ENISA) o istotnych incydentach związanych z bezpieczeństwem w wyznaczonych terminach. Jeśli mają Państwo jakiekolwiek pytania lub podejrzewają, że mogło dojść do incydentu, prosimy o kontakt pod adresem security@TeamRetro.com.

Raportowanie przestojów

Klienci korporacyjni mogą zdecydować się na otrzymywanie powiadomień o wszelkich problemach za pośrednictwem poczty elektronicznej. Nasza platforma hostingowa zazwyczaj pozwala uniknąć przestojów podczas wprowadzania zmian w naszych usługach. Niemniej jednak o wszelkich planowanych przestojach powiadomimy klientów pocztą elektroniczną z co najmniej 24-godzinnym wyprzedzeniem.

Państwa prywatność jest chroniona

Państwa dane pozostają Państwa własnością i są dostępne wyłącznie dla osób, którym zdecydują się Państwo je udostępnić. TeamRetro (oraz zespół GroupMap Technology) może uzyskać dostęp do Państwa danych wyłącznie w ograniczonych okolicznościach, np. gdy wymaga tego prawo lub w celu udzielenia pomocy technicznej. Szczegółowe informacje można znaleźć w [Polityce prywatności] TeamRetro(/privacy/).

Przechowywanie i usuwanie danych

Przechowujemy dane naszych użytkowników przez okres 365 dni od zakończenia okresu próbnego lub wygaśnięcia subskrypcji. Następnie wszystkie dane są całkowicie usuwane z aplikacji. Użytkownicy mogą w dowolnym momencie poprosić o usunięcie danych, likwidując swoje konto lub kontaktując się z działem pomocy technicznej TeamRetro. Więcej informacji na temat naszych ustawień prywatności można znaleźć w naszej Polityce prywatności.

Ciągłość działania i odzyskiwanie danych po awarii

Tworzymy kopie zapasowe wszystkich naszych kluczowych zasobów i regularnie przeprowadzamy testy przywracania danych z kopii zapasowej, aby zagwarantować szybkie przywrócenie sprawności w razie awarii. Co 24 godziny tworzymy pełną kopię zapasową danych klientów. Kopie zapasowe są bezpiecznie szyfrowane i przechowywane przez 30 dni, po upływie których są bezpiecznie niszczone. Opracowaliśmy plany ciągłości działania i odzyskiwania danych po awarii oraz corocznie je weryfikujemy.

Bezpieczne programowanie

Nasi programiści są zobowiązani do przestrzegania naszej formalnie udokumentowanej Polityki bezpieczeństwa aplikacji oraz stosowania najlepszych praktyk i standardów w zakresie bezpieczeństwa (OWASP Top 10, SANS Top 25). Aby zapewnić najwyższy poziom bezpieczeństwa naszego oprogramowania, stosujemy następujące najlepsze praktyki:

• Programiści uczestniczą w regularnych szkoleniach z zakresu bezpieczeństwa, aby zapoznać się z typowymi lukami w zabezpieczeniach i zagrożeniami
• Sprawdzamy nasz kod pod kątem luk w zabezpieczeniach
• Regularnie aktualizujemy nasze biblioteki i upewniamy się, że żadna z nich nie zawiera znanych luk w zabezpieczeniach
• Wykorzystujemy statyczne testy bezpieczeństwa aplikacji (SAST) do wykrywania podstawowych luk w zabezpieczeniach naszego kodu
• Wykorzystujemy metodę dynamicznego testowania bezpieczeństwa aplikacji (DAST) do skanowania naszych aplikacji
• Korzystając z Datadog, możemy skuteczniej usuwać luki w zabezpieczeniach wykryte w wyniku testów bezpieczeństwa, audytów lub w ramach programu ujawniania luk w zabezpieczeniach. Otrzymujemy również powiadomienia, gdy w środowisku produkcyjnym wykorzystywane są komponenty aplikacji zawierające znane luki w zabezpieczeniach (zależności).

Skanowanie podatności

TeamRetro jest poddawane comiesięcznym skanom oraz skanom przeprowadzanym po wydaniu istotnych aktualizacji przez intruder.io, aby wykryć potencjalne luki w zabezpieczeniach infrastruktury, platformy i aplikacji. Wszelkie wykryte luki są klasyfikowane i eliminowane zgodnie z naszymi zasadami bezpieczeństwa aplikacji.

Testy penetracyjne

Okresowo zlecamy niezależne testy penetracyjne w celu weryfikacji bezpieczeństwa platformy TeamRetro. Wszystkie krytyczne luki usuwamy w ciągu 48 godzin, a luki o wysokim stopniu zagrożenia – w ciągu 7 dni.

Oceny ryzyka

Co roku przeprowadzana jest ocena ryzyka w celu zidentyfikowania zagrożeń i słabych punktów systemów TeamRetro. Na podstawie wyników tej oceny opracowywane są strategie ograniczania ryzyka.

Zabezpieczanie systemu

KONTEJNERYZACJA SERWERÓW – TeamRetro wykorzystuje konteneryzację systemu operacyjnego za pośrednictwem AWS Fargate, aby zapewnić odpowiednie ograniczenie dostępu do danych i kodu TeamRetro. Wszystkie usługi TeamRetro działają na dedykowanych zasobach obliczeniowych, odizolowanych w ramach własnej sieci wirtualnej.

TYMCZASOWE SYSTEMY PLIKÓW SERWERÓW – Serwery TeamRetro działają w oparciu o tymczasowy system plików, który jest przywracany do najnowszej wersji wdrożonego kodu co najmniej raz dziennie lub za każdym razem, gdy wdrażana jest nowa wersja.

AKTUALIZACJE SYSTEMOWE – Na bieżąco przeprowadzane są aktualizacje na poziomie platformy (systemu operacyjnego, bibliotek systemowych i usług) serwerów aplikacji TeamRetro oraz serwerów baz danych.

AKTUALIZACJA APLIKACJI – Aktualizacja aplikacji (bibliotek aplikacji itp.) jest na bieżąco przeprowadzana przez TeamRetro.

KOMPUTERY – Wszystkie zasoby zespołu (takie jak laptopy i komputery stacjonarne służące do programowania) są wyposażone w szyfrowane nośniki danych i chronione przez aktualne oprogramowanie antywirusowe.

Kompleksowe rejestrowanie

Prowadzimy szczegółowe rejestry wszystkich transakcji w systemie, w tym osobne zapisy dotyczące prób logowania. Nasze rejestry są regularnie analizowane przez nasz zespół ds. bezpieczeństwa w celu wykrywania prób nieuprawnionego dostępu.

Dostęp naszego zespołu

• Nasze rygorystyczne procedury wewnętrzne uniemożliwiają pracownikom i administratorom uzyskanie dostępu do danych użytkowników. Dostęp do Państwa danych możemy uzyskać wyłącznie w ograniczonych przypadkach, np. gdy wymaga tego prawo lub gdy jest to konieczne do udzielenia pomocy technicznej. Szczegółowe informacje można znaleźć w naszej Polityce prywatności.
• Nasi pracownicy i kontrahenci podpisują umowę o zachowaniu poufności w celu ochrony wrażliwych danych naszych klientów.
• Nasi pracownicy i kontrahenci są sprawdzani przez wiodącą agencję zajmującą się weryfikacją przeszłości.
• Poziom uprawnień każdego z naszych pracowników jest ustalany w zależności od potrzeb, okresowo weryfikowany i cofany, jeśli nie jest już konieczny. We wszystkich kluczowych systemach TeamRetro stosujemy uwierzytelnianie wieloskładnikowe.
• Aby uzyskać dostęp administracyjny, wymagane jest uwierzytelnianie dwuskładnikowe.

Odpowiedzialne ujawnianie informacji

Zachęcamy wszystkich, którzy stosują zasadę odpowiedzialnego ujawniania luk i przestrzegają naszych zasad oraz warunków korzystania z usługi, do udziału w naszym programie zgłaszania luk w zabezpieczeniach. Prosimy o unikanie testów automatycznych i przeprowadzanie testów bezpieczeństwa wyłącznie przy użyciu własnych danych. Prosimy o nieujawnianie żadnych informacji dotyczących luk w zabezpieczeniach do czasu ich usunięcia przez nas. Nagrody są przyznawane według naszego uznania, w zależności od stopnia krytyczności zgłoszonej luki. Dowiedz się więcej o programie odpowiedzialnego ujawniania luk TeamRetro.