W tym artykule opisano niektóre z naszych technik i procedur.
W Easy LMS bezpieczeństwo Twoich danych jest naszym najwyższym priorytetem. Nieustannie próbujemy złamać nasze własne systemy bezpieczeństwa, aby zidentyfikować słabe punkty.
Architektura oprogramowania
Easy LMS jest zbudowany w oparciu o nasz własny system zarządzania treścią (CMS). System ten został opracowany w oparciu o framework Yii PHP typu open source. Yii wykorzystuje architekturę opartą na modelu widok-kontroler (MVC), która pozwala na tworzenie uporządkowanego, czystego i łatwego w utrzymaniu kodu. Yii jest uważany za solidny, szybki i bezpieczny.
Framework Yii
Wykorzystujemy wiele wbudowanych funkcji bezpieczeństwa Yii, takich jak szyfrowanie danych, zapobieganie XSS i oczyszczanie danych. Dane wprowadzane przez użytkownika są zawsze weryfikowane na serwerze, nawet jeśli stosowana jest również walidacja po stronie klienta.
Uwierzytelnianie
Autoryzacja ról
Mamy kilka typów użytkowników, którzy mogą uzyskać dostęp do systemu, jak widać na poniższym schemacie. W zależności od poziomu bezpieczeństwa, każda rola ma dostęp do dodatkowych części systemu i danych. Od poziomu wsparcia wzwyż używamy typu logowania, który różni się od logowania klienta jako dodatkowej warstwy bezpieczeństwa.
Często zadawane pytania
Poniżej znajduje się lista pytań dotyczących bezpieczeństwa, które często otrzymujemy.
Gdzie znajdują się wasze serwery?
Easy LMS działa w chmurze Amazon Web Services, w skrócie AWS. Serwery i bazy danych znajdują się fizycznie we Frankfurcie w Niemczech.
Jak chronicie moje dane?
Chronimy Twoje dane na kilka sposobów:
Wszystkie dane są przechowywane w bazie danych, która jest w pełni zaszyfrowana. Oznacza to, że dane w bazie danych można odzyskać tylko w określony sposób.
Dane osobowe, o które prosimy, są przechowywane w bazie danych przy użyciu dodatkowej warstwy szyfrowania. Oznacza to, że nawet jeśli baza danych zostanie naruszona, atakujący nie będzie w stanie odczytać danych bez klucza do ich odszyfrowania.
Hasła są przechowywane przy użyciu wysoce bezpiecznego algorytmu haszującego. W przeciwieństwie do innych danych, niemożliwe jest odzyskanie oryginalnego hasła z jego skrótu.
Hasła nigdy nie są wysyłane do nikogo w żaden sposób.
Cała komunikacja między klientem (użytkownikiem) a serwerem odbywa się za pośrednictwem szyfrowanego połączenia.
Kto ma dostęp do moich danych?
Ty, przez cały czas. Możemy uzyskać dostęp do niektórych Twoich danych, na przykład do celów wsparcia i faktur. Nigdy nie udostępniamy Twoich danych bez Twojej zgody.
Kto ma dostęp do bazy danych?
Dostęp do naszej bazy danych mają wyłącznie autoryzowani użytkownicy. Autoryzacja jest obsługiwana przez oddzielny system, więc żadne konto Easy LMS nie ma bezpośredniego dostępu do bazy danych. System ten jest dostępny tylko z naszej wewnętrznej sieci.
Czy przetwarzacie i przechowujecie dane osobowe?
Prosimy tylko o dane, których potrzebujemy, na przykład do rozliczeń. Przechowujemy te dane zaszyfrowane w naszej bazie danych.
Czy istnieje procedura na wypadek wycieku danych?
Tak. W przypadku wykrycia wycieku danych natychmiast podejmiemy działania, aby najpierw naprawić wyciek i uniemożliwić dostęp z zewnątrz. Poinformujemy zainteresowane strony w ciągu 48 godzin od wykrycia wycieku danych.
Jakiego rodzaju szyfrowania używacie?
Komunikacja odbywa się za pośrednictwem protokołu HTTPS (TLS 1.2).
Wszystkie dane są szyfrowane przy użyciu algorytmu AES-256.
Hasła są przechowywane przy użyciu bcrypt-hashing.
Dane osobowe są przechowywane przy użyciu szyfrowania CBC lub ECB (w zależności od typu i zastosowania).
Czy obsługujecie logowanie jednokrotne (SSO)?
Tak. Możesz przeczytać o obsługiwanych przez nas metodach SSO.
Czy macie kopie zapasowe?
Tak. Codziennie wykonujemy migawki naszej bazy danych z okresem przechowywania wynoszącym 35 dni.
Jakiego rodzaju wsparcie oferujecie?
Możesz skontaktować się z nami za pośrednictwem naszej strony internetowej. Nasz dział wsparcia jest dostępny od 08:30 do 16:30 (CET), od poniedziałku do piątku. Nasi konsultanci mówią po holendersku, angielsku, niemiecku i polsku. Zapewniamy wsparcie we wszystkich innych językach przy użyciu tłumaczenia maszynowego.
Jak długo trwa odpowiedź na zgłoszenie?
Zależy to od rodzaju zgłoszenia, ale zazwyczaj w ciągu 24 godzin.
Czy przeprowadzacie testy penetracyjne?
Zastanawiamy się nad tym. Niektórzy z naszych klientów przeprowadzają własne testy penetracyjne w naszym systemie i dzielą się ich wynikami. Jest rzeczą oczywistą, że wszelkimi pojawiającymi się problemami zajmujemy się natychmiast.
Czy mogę przeprowadzić test penetracyjny?
Zachęcamy do tego, inni klienci już to zrobili. Prosimy jednak o poinformowanie nas o tym z wyprzedzeniem, abyśmy wiedzieli, że na nasze serwery może być wywierana dodatkowa presja.
Jak często aktualizujecie oprogramowanie?
Nieustannie. Nieustannie pracujemy nad poprawą bezpieczeństwa oprogramowania i nowymi funkcjami. Za każdym razem, gdy pojawia się poprawka błędu lub błędu bezpieczeństwa, natychmiast ją wdrażamy.
Jak testujecie swoje oprogramowanie?
Testujemy nasze oprogramowanie zarówno ręcznie, jak i automatycznie. Przed każdym wdrożeniem nasz system przechodzi przez kilka etapów. Jednym z nich jest faza testowania. Podczas tej fazy zautomatyzowany system uruchamia tysiące testów automatycznych, takich jak testy jednostkowe, testy funkcjonalne i testy integracyjne. Daje to pewność, że wszelkie zmiany, które wprowadzamy do naszego oprogramowania, nie naruszają innych funkcji lub środków bezpieczeństwa. Nawet jeśli tylko jeden test zakończy się niepowodzeniem, kompilacja jest odrzucana i odsyłana do działu rozwoju w celu naprawienia.
Czy wszyscy pracownicy, którym zlecono przetwarzanie danych, zostali zobowiązani do zachowania tajemnicy danych?
Tak, każdy z naszych pracowników podpisuje oświadczenie, że nigdy nie udostępni żadnych informacji stronom, które nie są w to zaangażowane.
Czy istnieją jakieś procesy hartowania?
Tak:
Instalowane są wszystkie poprawki bezpieczeństwa naszych systemów operacyjnych.
Na wszystkich naszych systemach zainstalowane są programy antywirusowe i antyszpiegowskie.
Wdrożyliśmy ochronę punktów końcowych.
Wszystkie dane logowania, zarówno na naszych stacjach roboczych, jak i na platformie, muszą być silne. W razie potrzeby stosujemy uwierzytelnianie dwuskładnikowe.
Automatycznie blokujemy wszystkie komputery, gdy ktoś opuszcza swoją stację roboczą.
Posiadamy zaporę sieciową.
W jaki sposób egzekwowana jest separacja między poświadczeniami sieci korporacyjnej a środowiskiem produkcyjnym?
Poświadczenia sieci korporacyjnej różnią się od tych ze środowiska produkcyjnego, dodając dodatkową warstwę zabezpieczeń. Poświadczenia środowiska produkcyjnego są dostępne tylko dla DevOps i SysAdmins. Prowadzone są dzienniki dostępu.
Jak zorganizowane jest zarządzanie dostępem i kluczami?
Każdy system ma właściciela, który jest odpowiedzialny za dostęp i zarządzanie kluczami. Przypisujemy dostęp tylko wtedy, gdy jest to konieczne do pracy pracownika, a wszystkie żądania dostępu są rejestrowane i monitorowane.
Czy jesteście zgodni z RODO?
RODO weszło w życie 25 maja 2018 roku. Z przyjemnością potwierdzamy, że Easy LMS jest w pełni zgodny z RODO. Zaktualizowaliśmy naszą Politykę prywatności, Regulamin i działania zgodnie z RODO. Nasza Umowa o Przetwarzaniu Danych jest dostępna na naszej stronie internetowej i jest częścią naszego Regulaminu. Przeczytaj więcej o RODO i jego skutkach.
Czy posiadasz certyfikat ISO 27001?
Tak! Posiadamy certyfikat ISO 27001. Oznacza to, że posiadamy system zarządzania bezpieczeństwem informacji (ISMS), który jest zgodny z międzynarodowymi standardami, aby upewnić się, że Twoje dane są bezpieczne w naszych rękach. Pomaga nam to również w ciągłym doskonaleniu naszych zabezpieczeń i sposobów radzenia sobie z ewentualnymi incydentami.
Czy zapewniacie uwierzytelnianie dwuskładnikowe dla administratorów?
Tak! Każdy administrator może skonfigurować uwierzytelnianie dwuskładnikowe (2FA) w swoim profilu. Każdy administrator musi samodzielnie skonfigurować 2FA. Ta funkcja nie może być wymuszona przez administratora globalnego lub właściciela konta. Przeczytaj więcej na temat konfiguracji 2FA.