Niniejsza Polityka Bezpieczeństwa określa środki, procedury i wytyczne, których Guardey przestrzega w celu zapewnienia bezpieczeństwa danych i systemów. Polityka ta dotyczy wszystkich pracowników, wykonawców i stron trzecich, którzy mają dostęp do systemów i danych Guardey.
Guardey dąży do:
- Chronić poufność, integralność i dostępność danych.
- Zapobieganie nieautoryzowanemu dostępowi i zagrożeniom.
- Przestrzegać odpowiednich przepisów prawa, regulacji i standardów branżowych.
- Najmniejsze uprawnienia: Dostęp jest przyznawany tylko do niezbędnych danych i systemów.
- Odpowiedzialność: Każda osoba w Guardey jest odpowiedzialna za przestrzeganie środków bezpieczeństwa.
- Identyfikacja i uwierzytelnianie: Wszyscy użytkownicy muszą uwierzytelniać się za pomocą uwierzytelniania wieloskładnikowego (2FA) przy użyciu poczty e-mail. Pojedyncze logowanie (SSO) za pośrednictwem Microsoft jest również wykorzystywane do usprawnienia i zabezpieczenia dostępu.
- Autoryzacja: Guardey wykorzystuje model kontroli dostępu oparty na rolach (RBAC), który zarządza jednostkami organizacyjnymi, kontami użytkowników i grupami użytkowników.
- Zarządzanie kontami: Tworzenie, utrzymywanie i usuwanie kont odbywa się według ściśle określonych procedur.
- Szyfrowanie: Wszystkie przesyłane dane są chronione za pomocą protokołu TLS.
- Klasyfikacja danych: Dane są klasyfikowane na podstawie ich wrażliwości i odpowiednio przetwarzane.
- Kopie zapasowe: Codzienne kopie zapasowe bazy danych są tworzone i przechowywane w postaci zaszyfrowanej w wielu regionach naszego hostingu. W przypadku utraty danych produkcyjnych, te kopie zapasowe mogą być wykorzystane do przywrócenia danych.
- Firewall: Guardey wykorzystuje Cloudflare Web Application Firewall (WAF) do ochrony aplikacji przed atakami.
- Segmentacja sieci: Utrzymywane jest dedykowane środowisko produkcyjne, zapewniające, że dane klientów nigdy nie są przechowywane ani przetwarzane w systemach nieprodukcyjnych.
- Wykrywanie włamań: Ciągłe monitorowanie i rejestrowanie infrastruktury sieciowej w celu wykrywania i zapobiegania nieautoryzowanemu dostępowi.
- Wytyczne dotyczące rozwoju: Deweloperzy przestrzegają wytycznych dotyczących bezpieczeństwa i najlepszych praktyk w zakresie bezpiecznego kodowania.
-Bezpieczne tworzenie aplikacji: Wszystkie nasze zmiany w kodzie są sprawdzane przez drugiego programistę i przez CI pod kątem jakości, błędów i luk w zabezpieczeniach.
Następnie zmiany w środowisku przedprodukcyjnym są ponownie sprawdzane. Jeśli wszystko działa poprawnie, jeden z naszych administratorów może zatwierdzić zmianę, po czym następuje automatyczne wdrożenie zmiany w środowisku produkcyjnym.
-Zarządzanie podatnościami: Regularne skanowanie i aktualizacje w celu identyfikacji i naprawy luk w zabezpieczeniach.
-Testy bezpieczeństwa: Okresowe testy penetracyjne i przeglądy kodu.
- Centra danych: Dane Guardey są przechowywane w bezpiecznych centrach danych zlokalizowanych w Holandii (UE) w celu zapewnienia zgodności z przepisami UE dotyczącymi ochrony danych i prywatności. Te centra danych stosują fizyczne ograniczenia dostępu, systemy nadzoru i zabezpieczenia środowiskowe.
-Dostęp do lokalizacji fizycznych: Tylko upoważniony personel ma dostęp do wrażliwych lokalizacji.
- Plan reagowania na incydenty: Szczegółowe procedury zgłaszania i obsługi incydentów bezpieczeństwa.
-Komunikacja: Zdefiniowane wewnętrzne i zewnętrzne protokoły komunikacji podczas incydentów.
-Kryminalistyka: Badanie i analiza incydentów w celu określenia ich przyczyn i skutków.
- Narzędzia monitorowania: Guardey używa różnych narzędzi monitorujących do nadzorowania i zarządzania zmianami w swojej infrastrukturze.
-Rejestrowanie: Wszystkie zmiany i działania w środowisku Guardey są skrupulatnie rejestrowane. Alerty są generowane na podstawie wagi lub potencjalnego wpływu zmian.
- Usuwanie danych: Klienci są odpowiedzialni za swoje dane i mogą poinstruować Guardey, aby usunął wszystkie ich dane zgodnie z obowiązującymi przepisami, chyba że przepisy nakazują ich przechowywanie.
- Qualys SSL Labs: Guardey posiada kwalifikację klasy A.
-Zgodność z przepisami: Guardey zapewnia, że wszystkie środki bezpieczeństwa są zgodne z odpowiednimi przepisami i regulacjami, takimi jak RODO.
- Przegląd i aktualizacje: Niniejsza polityka jest regularnie przeglądana i aktualizowana, aby zapewnić jej zgodność ze zmieniającymi się zagrożeniami i technologiami.
-Monitorowanie i egzekwowanie: Guardey monitoruje i egzekwuje zgodność z niniejszą polityką wśród wszystkich zaangażowanych stron.
W Guardey praktykujemy to, co głosimy. Jako firma oferująca szkolenia security awareness poprzez cotygodniowe sesje nano learningowe, zapewniamy, że wszyscy nasi pracownicy są również rygorystycznie szkoleni przy użyciu naszego własnego produktu. Dzięki temu nasz zespół nie tylko jest na bieżąco z najnowszymi praktykami bezpieczeństwa, ale także demonstruje nasze zaangażowanie w bezpieczeństwo od wewnątrz. Nasi pracownicy uczestniczą w tych angażujących i pouczających sesjach szkoleniowych, zapewniając, że security awareness jest zawsze na pierwszym miejscu.