Безопасность платформы

Соответствие законодательству и международным стандартам безопасности, защита данных при хранении в облаке и доступы к ним, усиленная безопасность для корпораций.

Реестр операторов персональных данных Роскомнадзора

➔

К реестру

№ 152-ФЗ
«О персональных данных»

PDF 173 Кб

Международный стандарт ISO 27001:2013

PDF 1 Мб

Общий регламент защиты данных (GDPR)

PDF 385 Кб

Аудит информационной безопасности

PDF 161 Кб

Ассоциация больших данных

PDF 120 Кб

Почему хранить данные в облаке безопасно

Соответствие закону и стандартам

Mindbox соответствует требованиям 152-ФЗ, GDPR и сертифицирован на соответствие требованиям международного стандарта ISO27001:2013. Мы не используем и не передаем клиентские данные, если это не предусмотрено договором.

Шифрование

Чтобы защитить клиентские данные мы шифруем базы данных в покое, для административных панелей и API применяем TLS 1.2+, а для рабочих устройств сотрудников — BitLocker или FileVault.

Обязательный уровень сервиса

(SLA)

Мы гарантируем уровень сервиса и безопасность платформы, поэтому заключаем с клиентами соглашение об уровне сервиса и возмещаем потери, которые произошли по нашей вине.

Мониторинг и прозрачность инцидентов

Системы мониторинга отслеживают атаки и уязвимости и собирают данные о выдаче доступов, изменении прав или добавлении новых пользователей. Если событие связано с клиентскими данными (инцидент), мы уведомляем клиента в течение 24 часов, расследуем и устраняем причины. Работоспособность платформы и инциденты можно отслеживать в режиме реального времени на странице статуса.

Данные клиентов не пересекаются

Для каждого клиента создается логически изолированная среда. Доступ к платформе с логином и паролем, а также по усмотрению клиента с двухфакторной аутентификацией через SMS или email. Пароли хранятся в формате одностороннего хэширования с использованием «соли» (SHA512+salt). Аккаунт блокируется после нескольких неверных попыток ввода пароля, можно установить срок жизни пароля.

Независимая инфраструктура

Управление инфраструктурой сосредоточено внутри компании: сервера находятся в собственности, доступ к ним ограничен, а программным обеспечением управляют наши SRE-инженеры. Кроме того, мы пользуемся услугами DataLine (Tier 3 Uptime Institute), Selectel и Yandex.Cloud, которые подтвердили соответствие международными и локальным требованиям информационной безопасности.

Непрерывность бизнеса

Чтобы платформа работала непрерывно даже в случае сбоев, мы дублируем данные на нескольких серверах, регулярно создаем резервные копии и тестируем их восстановление. А чтобы все шло по плану, анализируем воздействие возможных угроз на бизнес (business impact analysis, BIA), пересматриваем и тестируем план непрерывности бизнеса (business continuity planning, BCP) и план аварийного восстановления ИТ-систем (disaster recovery plan, DRP).

Для критически важных систем определяем показатели допустимой точки восстановления (recovery point objective, RPO) и допустимого времени восстановления (recovery time objective, RTO).

У кого есть доступ к данным

Сотрудники Mindbox

Менеджеры клиентских проектов видят обезличенные персональные данные, а выгрузить базы данных могут только с разрешения клиента. Другие сотрудники Mindbox получают доступ только к тем сервисам и данным, которые необходимы для работы. Их учетные записи защищены двухфакторной аутентификацией, а доступ к облачным сервисам — технологией единого входа (single sign-on, SSO).

Выделенные роли

Клиент может создавать уникальные роли с доступом к платформе и определять их права. Продукт логирует все действия пользователей и хранит события, связанные с безопасностью. Клиент может создать список доверенных IP-адресов.