Главная / Документы / Система безопасности компании Selzy

Система безопасности компании Selzy

1. Введение

SELZY (далее — «Компания» или компания Selzy) стремится поддерживать самые высокие стандарты безопасности данных и защиты конфиденциальности. В этом документе описаны комплексные меры, принимаемые Компанией для защиты клиентских данных и соблюдения применимых нормативных требований.

2. Меры по защите данных и обеспечению безопасности

2.1 Безопасность инфраструктуры

2.1.1 Оборудование центров обработки данных

Компания использует современные центры обработки данных, управляемые Amazon AWS, (TET) Lattelecom и Hetzner, которые соответствуют строгим протоколам безопасности, включая, помимо прочего:

сертификацию ISO 27001
непрерывный мониторинг и наблюдение (24 часа в сутки, 7 дней в неделю, 365 дней в году)
биометрический контроль доступа и защитные шлюзы
резервные системы электроснабжения и охлаждения для обеспечения бесперебойной работы
контроль окружающей среды, включая системы пожаротушения и регулирования температуры
регулярные проверки мер физической безопасности независимыми аудиторами

2.1.2 Протоколы сетевой безопасности

Компания использует многоуровневый подход к сетевой безопасности, включающий:

передовые брандмауэры и коммутаторы во всех точках передачи данных
шифрование данных при передаче (2048-битный TLS 1.2 или выше) и в состоянии покоя (AES-256)
надёжные стратегии смягчения атак типа DDoS
регулярное сканирование уязвимостей сети и тестирование на проникновение
системы обнаружения и предотвращения вторжений (IDS/IPS)
использование виртуальный частных сетей (VPN) для безопасного удалённого доступа

2.2 Безопасность приложений

2.2.1 Жизненный цикл безопасной разработки

Компания Selzy внедряет меры безопасности на протяжении всего процесса разработки программного обеспечения, включая:

обязательное рецензирование кода коллегами и автоматизированные проверки безопасности
непрерывную интеграцию и развёртывание с тестированием уязвимостей системы безопасности
регулярное тестирование на проникновение независимыми специалистами для выявления и устранения потенциальных уязвимостей
обучение разработчиков принципам безопасного программирования
использование инструментов статического и динамического тестирования безопасности приложений
регулярный аудит безопасности сторонних библиотек и зависимостей

2.2.2 Механизмы аутентификации и контроля доступа

Для обеспечения авторизованного доступа к данным компания Selzy реализует:

RBAC (Role-Based Access Control) – управление доступом на основе ролей с соблюдением принципа наименьших привилегий
совместимость с SSO (Single Sign-On) ведущих провайдеров идентификации

3. Операционная безопасность

3.1 Мониторинг и реагирование на инциденты

Компания Selzy осуществляет бдительный надзор за своими системами с помощью:

специального центра управления безопасностью (SOC), работающего в режиме 24/7 (круглосуточно)
полного ведения журналов и мониторинга всех действий системы
подробного плана реагирования на инциденты с предопределёнными процедурами для различных сценариев обеспечения безопасности
регулярных тренировок по реагированию на инциденты и моделирования инцидентов на рабочем месте
автоматизированных систем оповещения об аномальных действиях
возможностей криминалистического анализа для тщательного расследования инцидентов

3.2 Обучение сотрудников и повышение их осведомлённости о безопасности

Компания развивает культуру осведомлённости о безопасности посредством:

регулярного обучения всех сотрудников передовым методам обеспечения безопасности и угрозам социальной инженерии
периодических упражнений по моделированию фишинга
тщательной проверки биографических данных всех новых сотрудников
чёткого информирования всех сотрудников о политиках и процедурах безопасности
дисциплинарных мер за несоблюдение политик безопасности

3.3 Резервное копирование и восстановление данных

Для обеспечения целостности и доступности данных компания Selzy внедряет:

регулярное автоматическое резервное копирование всех критически важных данных
географически распределённые хранилища резервных копий
политики резервного копирования и хранения данных, соответствующие законодательным и нормативным требованиям
планы обеспечения непрерывности бизнеса и аварийного восстановления

4. Соблюдение конфиденциальности и Общего регламента

Как компания, базирующаяся в ЕС, Selzy строго придерживается требований Общего регламента о защите персональных данных (GDPR), включая:

внедрение принципов конфиденциальности при разработке продукта
регулярный пересмотр и обновление соглашений с клиентами и поставщиками в соответствии с требованиями Общего регламента
создание межфункциональной рабочей группы по вопросам соблюдения требований Общего регламента
постоянное внедрение инноваций в продукты и процессы для обеспечения соответствия требованиям Общего регламента
внедрение процедур обнаружения, отчётности и расследования утечек персональных данных;
назначение специалиста по защите данных (DPO)
ведение Журналов о действиях по обработке (RoPA)
проведение Оценки воздействия на защиту данных (DPIA) при необходимости
предоставление субъектам данных механизмов для осуществления своих прав в соответствии с Общим регламентом

Более подробную информацию о соблюдении нами требований конфиденциальности можно найти по ссылке: https://selzy.com/en/legal/gdpr/

5. Постоянное совершенствование

Компания Selzy стремится постоянно совершенствовать свои меры обеспечения безопасности и конфиденциальности посредством:

регулярного пересмотра и обновления этой политики
отслеживания новых угроз и передовых практик в области кибербезопасности
сбора обратной связи от клиентов и сотрудников по вопросам безопасности и конфиденциальности

6. Отказ от ответственности

Этот документ является общим обзором мер Компании по обеспечению безопасности и конфиденциальности. Компания Selzy оставляет за собой право изменять данные меры по мере необходимости для поддержания высочайших стандартов защиты данных. Клиентам рекомендуется проконсультироваться с юрисконсультом, чтобы определить применимость данных мер к их конкретным обстоятельствам.