Политика безопасности

Аудит и сертификация:

Vmaker сотрудничает с независимыми сторонними компаниями для соответствия практикам безопасности, которые постоянно соответствуют лучшим отраслевым стандартам. Мы являемся компанией, сертифицированной по ISO 27001:2013. Vmaker готов поделиться сертификатом ISO по разумному запросу клиентов.

Vmaker использует платежную платформу Stripe. Для получения дополнительной информации о практиках безопасности Stripe, пожалуйста, посетите https://stripe.com/docs/security/stripe.

Рамки конфиденциальности:

Vmaker обеспечивает соответствие своих процессов и процедур Общему регламенту по защите данных (GDPR) и Закону о защите конфиденциальности потребителей Калифорнии (CCPA). Для получения дополнительной информации посетите нашу Политику конфиденциальности здесь.

Тестирование уязвимостей:

Vmaker следует структурированному процессу разработки и выпуска кода. В рамках этого процесса весь код проходит проверку коллегами. Vmaker предоставляет инженерам специально созданные инструменты анализа кода для развертывания против кода приложения. Vmaker также выполняет непрерывные постпроизводственные тесты на основе угроз в реальном времени. Vmaker проводит тщательное внутреннее непрерывное тестирование поверхности своего приложения через различные типы упражнений по тестированию на проникновение. Кроме того, Vmaker координирует внешнее тестирование на проникновение сторонними организациями с использованием квалифицированных и сертифицированных тестировщиков на проникновение.

Регулярное тестирование на проникновение и сканирование безопасности:

Backend Vmaker регулярно сканируется инструментами сканирования отраслевого стандарта для мониторинга и обнаружения уязвимостей. Кроме того, раз в год мы выполняем тщательное и детальное тестирование на проникновение с использованием сторонних компаний по тестированию на проникновение.

Обучение безопасности для команды Vmaker:

Все члены нашей команды проходят обучение по осведомленности о безопасности для повышения осведомленности о безопасности на регулярной основе.

Шифрование данных:

Данные в пути и в состоянии покоя зашифрованы. Мы используем AWS KMS (Key Management Service) для всех наших ключей. Соединение данных с нашим приложением зашифровано и аутентифицировано с использованием сильного протокола (TLS 1.2), сильного обмена ключами (ECDHE_RSA с P-256) и сильного шифра (AES_128_GCM). Мы используем SSL-сертификат, подписанный GoDaddy. Все команды симметричного шифрования ключей, используемые в HSA, используют стандарты шифрования AES (Advanced Encryption Standards) в режиме Galois Counter Mode (GCM) с использованием 256-битных ключей. Аналогичные вызовы для расшифровки используют обратную функцию. Amazon EC2 EBS том зашифрован с использованием AES-256-XTS. Это требует два 256-битных ключа тома, что похоже на 512-битный ключ тома. Ключ тома зашифрован под мастер-ключом клиента и хранится вместе с метаданными тома.

Обучение / Осведомленность:

Vmaker имеет формальную и документированную программу обучения осведомленности о безопасности во время процесса адаптации и другое обучение, которое проводится раз в полгода.

Система реагирования на инциденты и отчетности:

Vmaker имеет документированный и формальный план реагирования на инциденты. Vmaker выполняет ежегодное тестирование своих процессов экстренного реагирования. Наши сотрудники обучены тому, как сообщать об инцидентах внутри компании, а наши клиенты информируются об инцидентах, которые влияют на их услуги, через электронную почту. Vmaker имеет четко определенный и строгий процесс управления инцидентами для событий безопасности. Если инцидент затрагивает данные клиента, Vmaker проинформирует клиента и поддержит расследование через нашу службу поддержки в течение 72 часов. После устранения события безопасности мы записываем детальный анализ первопричины. Это затем ассимилируется Vmaker таким образом, чтобы мы могли обнаружить любые действия в будущем. Vmaker может поддерживать правильно сформированные запросы на конкретные данные арендатора при запросе правоохранительными органами. Отдельные клиенты уведомляются, если инцидент повлияет на их данные.

Автоматизация процесса сборки:

Vmaker имеет установленный процесс автоматизации, который позволяет нам бесшовно развертывать изменения в приложении и платформе Vmaker. Это позволяет нам решать проблемы безопасности как можно скорее.

Инфраструктура Vmaker:

Vmaker работает на Amazon Web Services ("AWS"); Все наши данные и системы в области действия размещены на AWS. Таким образом, инфраструктура AWS и ее сетевая безопасность будут обеспечены AWS, как подробно описано в отчете AWS SOC2. Кроме того, команда облачной безопасности Vmaker периодически контролирует и проверяет сетевую конфигурацию и безопасность среды в области действия.

Услуги и данные Vmaker размещены на Amazon Web Services (AWS) (us-west-2 и us-east-1). Данные клиентов Vmaker хранятся в многопользовательских хранилищах данных. Мы применяем строгий контроль конфиденциальности, чтобы убедиться, что данные одного клиента изолированы от данных других клиентов. Vmaker проводит интеграционные тесты для проверки наших средств контроля конфиденциальности. Эти тесты запускаются каждый раз, когда обновляется наша кодовая база, и даже один неудачный тест предотвратит отправку нового кода в продакшн. Каждая система Vmaker, используемая для обработки данных клиентов, адекватно настроена и исправлена с использованием коммерчески разумных методов в соответствии с признанными в отрасли стандартами укрепления системы и практиками безопасности.

Передача данных:

Данные Vmaker зашифрованы в пути с использованием 256-битного шифрования. Наши API и конечные точки приложения используют только TLS/SSL и получают рейтинг "A+" в тестах SSL Labs. Vmaker использует сильные наборы шифров и имеет полностью включенные функции, такие как HSTS и Perfect Forward Secrecy. Vmaker также шифрует данные в состоянии покоя с использованием алгоритма шифрования AES-256 отраслевого стандарта.

Аутентификация:

Vmaker верит в модель сетевой безопасности Zero Trust, основанную на строгом процессе проверки личности. Рамка диктует, что только аутентифицированные и авторизованные пользователи и устройства могут получить доступ к приложениям и данным. В то же время она защищает эти приложения и пользователей от продвинутых угроз в интернете. Vmaker имеет модель безопасности Zero Trust. Vmaker не предлагает дополнительных привилегий или корпоративных ресурсов от нахождения в сети Vmaker. Vmaker установил двухфакторную аутентификацию (2FA) и политики сильных паролей на GitHub, Google, AWS и Intercom для обеспечения защиты доступа к облачным услугам.

Разрешения и административные элементы управления:

Vmaker позволяет устанавливать уровни разрешений для любого сотрудника с доступом к системам Vmaker в области действия. Разрешения и доступ могут быть установлены для включения настроек приложения, выставления счетов и данных пользователей.

Мониторинг приложения:

Vmaker обеспечивает регистрацию и аудит каждого действия в сети Vmaker. Деятельность по контролю производства также регистрируется.