Безопасность платформы
Соответствие законодательству и международным стандартам безопасности, защита данных при хранении в облаке и доступы к ним, усиленная безопасность для корпораций.
Почему хранить данные в облаке безопасно
Мониторинг и прозрачность инцидентов
Системы мониторинга отслеживают атаки и уязвимости и собирают данные о выдаче доступов, изменении прав или добавлении новых пользователей. Если событие связано с клиентскими данными (инцидент), мы уведомляем клиента в течение 24 часов, расследуем и устраняем причины. Работоспособность платформы и инциденты можно отслеживать в режиме реального времени на странице статуса.
Данные клиентов не пересекаются
Для каждого клиента создается логически изолированная среда. Доступ к платформе с логином и паролем, а также по усмотрению клиента с двухфакторной аутентификацией через SMS или email. Пароли хранятся в формате одностороннего хэширования с использованием «соли» (SHA512+salt). Аккаунт блокируется после нескольких неверных попыток ввода пароля, можно установить срок жизни пароля.
Независимая инфраструктура
Управление инфраструктурой сосредоточено внутри компании: сервера находятся в собственности, доступ к ним ограничен, а программным обеспечением управляют наши SRE-инженеры. Кроме того, мы пользуемся услугами DataLine (Tier 3 Uptime Institute), Selectel и Yandex.Cloud, которые подтвердили соответствие международными и локальным требованиям информационной безопасности.
Непрерывность бизнеса
Чтобы платформа работала непрерывно даже в случае сбоев, мы дублируем данные на нескольких серверах, регулярно создаем резервные копии и тестируем их восстановление. А чтобы все шло по плану, анализируем воздействие возможных угроз на бизнес (business impact analysis, BIA), пересматриваем и тестируем план непрерывности бизнеса (business continuity planning, BCP) и план аварийного восстановления ИТ-систем (disaster recovery plan, DRP).
Для критически важных систем определяем показатели допустимой точки восстановления (recovery point objective, RPO) и допустимого времени восстановления (recovery time objective, RTO).
У кого есть доступ к данным
Сотрудники Mindbox
Менеджеры клиентских проектов видят обезличенные персональные данные, а выгрузить базы данных могут только с разрешения клиента. Другие сотрудники Mindbox получают доступ только к тем сервисам и данным, которые необходимы для работы. Их учетные записи защищены двухфакторной аутентификацией, а доступ к облачным сервисам — технологией единого входа (single sign-on, SSO).
Выделенные роли
Клиент может создавать уникальные роли с доступом к платформе и определять их права. Продукт логирует все действия пользователей и хранит события, связанные с безопасностью. Клиент может создать список доверенных IP-адресов.
Уровни безопасности
Все клиенты и их данные защищены по умолчанию, базовая безопасность входит в тариф и не оплачивается отдельно.
Иногда крупные компании предъявляют повышенные требования к безопасности. Они избыточны для ведения обычного бизнеса, но необходимы в больших корпоративных структурах, поэтому мы предлагаем расширенные возможности безопасности (Enterprise security) за отдельную плату.
Базовая безопасность
Соответствие требованиям 152-ФЗ, GDPR и ISO 27001- Управление паролями, блокировка после неудачных попыток входа
- Создание групп пользователей с разными правами доступа
- Логирование действий пользователей
- Двухфакторная аутентификация по email или телефону
Enterprise security
- Ограничение доступа к платформе по IP
- Возможность скрыть контакты клиентов от части пользователей
- Выгрузка событий в SIEM
- Single-Sign-On
Нам доверяют
750+ компаний, от ритейла до финансовых организаций, уже доверяют Mindbox данные своих клиентов.
Нужна помощь?
Если у вас остались вопросы, вы можете найти ответы в FAQ или обратиться к своему менеджеру.
Если выделенного менеджера нет или вы выявили уязвимость нашей платформы, пожалуйста, напишите на dpo@mindbox.ru