Информацион­ная безопасность

Mindbox заботится о защите информации компании, клиентов и партнеров. Чтобы защитить данные, мы внедрили процессы информационной безопасности и подготовили обзор. Эта страница будет полезна маркетологам и службе безопасности наших потенциальных клиентов и партнеров, которые хотят убедиться в защищенности своих данных на стороне Mindbox.

Mindbox соответствует требованиям 152-ФЗ, GDPR и сертифицирован на соответствие требованиям международного стандарта ISO27001:2013.

Сертификат о соответствии международному стандарту безопасности ISO 27001
Сертификат о соответствии международному стандарту ISO 27001:2013

Безопасность компании

Система менеджмента информационной безопасности

За информационную безопасность в компании отвечает отдельная команда информационной безопасности (далее — команда ИБ), которая разработала систему менеджмента информационной безопасности (далее — СМИБ):

  • Чтобы гарантировать доступность, целостность и конфиденциальность данных, внедрили и контролируем необходимые технические меры. Например, используем антивирусы, централизованное управление мобильными устройствами и технологии единого входа для доступа к информации.

  • Руководство Mindbox в курсе всех планов команды ИБ, выделяет необходимые ресурсы и инициирует улучшения системы.

  • Используем метрики, которые показывают эффективность функционирования СМИБ и ежеквартально анализируем результаты.

  • Сотрудники компании ежегодно проходят обучение по правилам ИБ.

Управление рисками информационной безопасности

СМИБ создана на основе модели рисков. Это значит, что компания инвентаризирует информационные активы (от сервисов до оборудования), фиксирует их ценность и определяет потенциальные угрозы. В основе — математическая матрица, которая позволяет выбирать эффективные меры для конкретного риска.

Платформа Mindbox быстро развивается и растет, поэтому мы постоянно пересматриваем риски и меры для их предотвращения.

Безопасность в офисе

Войти на территорию офисного здания и на этажи компании позволяет система контроля и управления доступом (далее — СКУД) арендодателя — гостям выдается временная электронная карта. Но передвижение по территории компании возможно только в сопровождении сотрудника.

Физический доступ к внутренним серверам Mindbox, которые не участвуют в обработке клиентских данных, происходит с помощью СКУД компании — мы самостоятельно выдаем и контролируем доступ к оборудованию.

Безопасность IT-систем и данных

Сотрудники работают на ноутбуках компании с актуальными операционными системами. Рабочие станции управляются централизованно через mobile device management (далее — MDM), благодаря этому техника полностью соответствует политике безопасности: мы используем стойкие пароли, устанавливаем антивирус c управлением через MDM и шифруем диски.

Контроль доступа

Чтобы защитить конфиденциальную информацию, доступ сотрудников к сервисам и клиентским данным зависит от их роли — раскрываем только ту информацию, которая необходима для работы. Техническая поддержка компании открывает доступ после мотивированного запроса от сотрудника, а команда ИБ регулярно проводит аудит выданных доступов.

Чтобы получить доступ к учетной записи, нужно пройти двухфакторную аутентификацию, а чтобы войти в облачные сервисы — воспользоваться технологией единого входа (single sign-on, SSO). Все пароли хранятся в менеджерах паролей. Так управление доступами становится прозрачным и централизованным.

Мониторинг и управление инцидентами

Системы мониторинга автоматически уведомляют команду ИБ о событиях, которые могут повлиять на конфиденциальность, целостность или доступность информации. Они собирают данные о выдаче доступов, изменении прав или добавлении новых пользователей. Команда ИБ контролирует уведомления и оценивает их критичность.

Если событие связано с клиентскими данными, мы определяем его как инцидент, сразу уведомляем заинтересованных сотрудников и в течение 24 часов — клиентов. После устранения инцидента и расследования мы разрабатываем меры, чтобы избежать атак и выявить уязвимость, а пострадавшим клиентам по запросу направляем отчет.

Непрерывность бизнеса

Процесс непрерывности бизнеса зафиксирован в политике безопасности. Мы регулярно анализируем воздействие на бизнес (business impact analysis, BIA), пересматриваем и тестируем план непрерывности бизнеса (business continuity planning, BCP) и план аварийного восстановления ИТ-систем (disaster recovery plan, DRP). Для критически важных систем определяем показатели допустимой точки восстановления (recovery point objective, RTO) и допустимого времени восстановления (recovery time objective, RPO).

Мы дублируем данные на нескольких серверах, регулярно создаем резервные копии и тестируем их восстановление.

Соответствие международным и российским стандартам

В апреле 2022 года компания получила сертификат соответствия ISO 27001. Также мы регулярно проходим оценку соответствия требованиям Федерального закона № 152-ФЗ «О персональных данных» и Общего регламента по защите данных (General Data Protection Regulation, GDPR).

Безопасность продукта (платформы)

Инфраструктура

Мы пользуемся услугами DataLine (Tier 3 Uptime Institute), Selectel и Yandex.Cloud, которые выполняют необходимые требования к информационной безопасности. Сервера принадлежат компании, системным и прикладным программным обеспечением управляют наши SRE-инженеры. Физический доступ к серверам имеют только доверенные лица, а удаленный доступ предоставляем на время и по запросу.

Разработка

Для изменения функционала продукта мы используем две изолированные среды разработки — тестовую (staging) и производственную (production). Production разделяется на две группы развертывания (deploy) — beta и stable.

Чтобы избежать ошибок, сначала код разворачивается в тестовой среде, далее — на beta на нескольких клиентах, и только после этого выкладывается на stable, то есть на всю клиентскую базу.

Мы перепроверяем код (code review) и настраиваем к нему автотесты. Также проводим тесты на проникновение (penetration tests), ручное тестирование продукта (quality assurance, QA) и учитываем тесты при разработке.

Продукт

Для каждого клиента создается логически изолированная среда, и данные друг с другом не пересекаются.

При создании нового проекта на платформе клиент получает письмо со ссылкой на создание пароля, чтобы авторизоваться с помощью пары логина и пароля. Также можно подключить двухфакторную аутентификацию через SMS или email и установить срок жизни пароля. При изменении пароля новый не может повторять старые.

Пароли хранятся в формате одностороннего хэширования с использованием «соли» (SHA512+salt). Аккаунт блокируется после пяти неверных попыток ввода пароля на 5 минут. При последующих неверных вводах пароля время блокировки увеличивается.

Доступ формируется по ролевой модели. Клиент может создавать уникальные роли с доступом к платформе и определять их права. Продукт логирует все действия пользователей и бесконечно хранит события безопасности. Менеджеры клиентских проектов видят обезличенные персональные данные, а выгрузить базы данных могут только с разрешения клиента. Информация новых клиентов шифруется как при хранении, так и при передаче с помощью шифров AES 256, SHA 384 и ECDHE.

Клиент может создать список доверенных IP-адресов.

По вопросам, связанными с информационной безопасностью, обращайтесь к вашему менеджеру. Если у вас нет выделенного менеджера или вы выявили уязвимость нашей платформы, пожалуйста, напишите на dpo@mindbox.ru