Politica di Sicurezza

Audit e certificazione:

Vmaker collabora con società terze indipendenti per conformarsi alle pratiche di sicurezza che soddisfano costantemente i migliori standard del settore. Siamo un'azienda certificata ISO 27001:2013. Vmaker è disposta a condividere la certificazione ISO su richiesta ragionevole dei clienti.

Vmaker utilizza la piattaforma di elaborazione dei pagamenti Stripe. Per maggiori informazioni sulle pratiche di sicurezza di Stripe, consulta https://stripe.com/docs/security/stripe.

Framework sulla Privacy:

Vmaker si assicura che i suoi processi e procedure siano conformi al Regolamento Generale sulla Protezione dei Dati (GDPR) e al California Consumer Privacy Act (CCPA). Per maggiori dettagli visita la nostra Politica sulla Privacy qui.

Test di Vulnerabilità:

Vmaker segue un processo strutturato di sviluppo e rilascio del codice. Come parte di questo processo, tutto il codice viene revisionato dai pari. Vmaker rende disponibili strumenti di analisi del codice su misura per gli ingegneri da utilizzare contro il codice dell'applicazione. Vmaker esegue anche test continui post-produzione basati su minacce in tempo reale. Vmaker conduce rigorosi test interni continui della sua superficie applicativa attraverso vari tipi di esercizi di test di penetrazione. Inoltre, Vmaker coordina test di penetrazione esterni di terze parti utilizzando tester di penetrazione qualificati e certificati.

Test di penetrazione regolari e scansioni di sicurezza:

Il Backend di Vmaker viene regolarmente scansionato con strumenti di scansione standard del settore per il monitoraggio e il rilevamento delle vulnerabilità. Inoltre, una volta all'anno, eseguiamo un test di penetrazione approfondito e dettagliato utilizzando società di test di penetrazione di terze parti.

Formazione sulla Sicurezza per il Team Vmaker:

Tutti i membri del nostro team seguono una formazione di sensibilizzazione alla sicurezza per una maggiore consapevolezza della sicurezza su base regolare.

Crittografia dei Dati:

I dati in transito e a riposo sono crittografati. Utilizziamo AWS KMS (Key Management Service) per tutte le nostre chiavi. La connessione dati alla nostra applicazione è crittografata e autenticata utilizzando un protocollo forte (TLS 1.2), un forte scambio di chiavi (ECDHE_RSA con P-256), e un forte cifrario (AES_128_GCM). Utilizziamo il certificato SSL firmato da GoDaddy. Tutti i comandi di crittografia a chiave simmetrica utilizzati all'interno dell'HSA utilizzano gli Standard di Crittografia Avanzata (AES), in Modalità Contatore Galois (GCM) utilizzando chiavi a 256 bit. Le chiamate analoghe per decrittografare utilizzano la funzione inversa. Il volume Amazon EC2 EBS è crittografato utilizzando AES-256-XTS. Questo richiede due chiavi di volume a 256 bit, che è come una chiave di volume a 512 bit. La chiave del volume è crittografata sotto una Customer Master Key e memorizzata insieme ai metadati del volume.

Formazione / Consapevolezza:

Vmaker ha un programma formale e documentato di formazione di sensibilizzazione alla sicurezza durante il processo di onboarding e altre formazioni, che avvengono una volta ogni sei mesi.

Sistema di Risposta agli Incidenti e Segnalazione:

Vmaker ha un piano di risposta agli incidenti documentato e formale. Vmaker esegue test annuali dei suoi processi di risposta di emergenza. I nostri dipendenti sono formati su come comunicare gli incidenti internamente e i nostri clienti sono tenuti informati degli incidenti che influenzano il loro servizio via e-mail. Vmaker ha un processo di gestione degli incidenti ben definito e rigoroso per gli eventi di sicurezza. Se un incidente coinvolge dati dei clienti, Vmaker informerà il cliente e supporterà gli sforzi investigativi tramite il nostro team di supporto entro 72 ore. Dopo che un evento di sicurezza è risolto, registriamo un'analisi dettagliata della causa principale. Questo viene poi assimilato da Vmaker in modo che possiamo rilevare qualsiasi azione in futuro. Vmaker può supportare richieste propriamente formate per dati specifici del tenant quando richiesto dalle forze dell'ordine. I singoli clienti vengono notificati se un incidente impatta i loro dati.

Automazione del Processo di Build:

Vmaker ha un processo di automazione stabilito che ci consente di distribuire senza problemi le modifiche all'applicazione e alla piattaforma Vmaker. Questo ci consente di affrontare i problemi di sicurezza il prima possibile.

Infrastruttura Vmaker:

Vmaker opera su Amazon Web Services ("AWS"); Tutti i nostri dati e sistemi in ambito sono ospitati su AWS. Quindi, l'Infrastruttura AWS e la sua Sicurezza di Rete saranno gestite da AWS come dettagliato nel rapporto SOC2 di AWS. Inoltre, il team di sicurezza cloud di Vmaker monitora e revisiona periodicamente la configurazione di rete e la sicurezza dell'ambiente in ambito.

I servizi e i dati di Vmaker sono ospitati su Amazon Web Services (AWS) (us-west-2 e us-east-1). I dati dei clienti Vmaker sono memorizzati in datastore multi-tenant. Esercitiamo controlli rigorosi sulla privacy nell'assicurarci che i dati di un particolare cliente siano isolati dai dati di altri clienti. Vmaker conduce test di integrazione in atto per verificare i nostri controlli sulla privacy. Questi test vengono eseguiti ogni volta che il nostro codebase viene aggiornato e anche un singolo test che fallisce impedirà al nuovo codice di essere spedito in produzione. Ogni sistema Vmaker utilizzato per elaborare i dati dei clienti è adeguatamente configurato e aggiornato utilizzando metodi commercialmente ragionevoli secondo standard di hardening del sistema riconosciuti dal settore e pratiche di sicurezza.

Trasferimento dei Dati:

I dati di Vmaker sono crittografati in transito utilizzando crittografia a 256 bit. I nostri endpoint API e applicazione sono solo TLS/SSL e ottengono un rating "A+" sui test di SSL Labs. Vmaker utilizza suite di cifratura forti e ha funzionalità come HSTS e Perfect Forward Secrecy completamente abilitate. Vmaker crittografa anche i dati a riposo utilizzando un algoritmo di crittografia AES-256 standard del settore.

Autenticazione:

Vmaker crede nel modello di sicurezza di rete Zero Trust, basato su un processo rigoroso di verifica dell'identità. Il framework stabilisce che solo utenti e dispositivi autenticati e autorizzati possono accedere alle applicazioni e ai dati. Allo stesso tempo, protegge quelle applicazioni e utenti da minacce avanzate su internet. Vmaker ha un modello di sicurezza Zero Trust in atto. Vmaker non offre privilegi aggiuntivi o risorse aziendali dall'essere sulla rete Vmaker. Vmaker ha stabilito l'autenticazione a due fattori (2FA) e politiche di password forti su GitHub, Google, AWS, e Intercom per assicurare che l'accesso ai servizi cloud sia protetto.

Permessi e Controlli Amministrativi:

Vmaker consente di impostare livelli di permesso per qualsiasi dipendente con accesso ai Sistemi in Ambito Vmaker. I permessi e l'accesso possono essere impostati per includere impostazioni dell'app, fatturazione e dati utente.

Applicazione Monitorata:

Vmaker si assicura che ogni azione sulla rete Vmaker sia registrata e controllata. Le attività di controllo della produzione sono registrate anch'esse.