Безопасность платформы

Соответствие законодательству и международным стандартам безопасности, защита данных при хранении в облаке и доступы к ним, усиленная безопасность для корпораций.

Безопасность
Реестр операторов персональных данных Роскомнадзора
№ 152-ФЗ
«О персональных данных»
Международный стандарт ISO 27001:2013
Общий регламент защиты данных (GDPR)
Аудит информационной безопасности
Ассоциация больших данных

Почему хранить данные в облаке безопасно

Соответствие закону и стандартам
Mindbox соответствует требованиям 152-ФЗ, GDPR и сертифицирован на соответствие требованиям международного стандарта ISO27001:2013. Мы не используем и не передаем клиентские данные, если это не предусмотрено договором.
Шифрование
Чтобы защитить клиентские данные мы шифруем базы данных в покое, для административных панелей и API применяем TLS 1.2+, а для рабочих устройств сотрудников — BitLocker или FileVault.
Шифрование
Обязательный уровень сервиса
(SLA)
Мы гарантируем уровень сервиса и безопасность платформы, поэтому заключаем с клиентами соглашение об уровне сервиса и возмещаем потери, которые произошли по нашей вине.

Мониторинг и прозрачность инцидентов

Системы мониторинга отслеживают атаки и уязвимости и собирают данные о выдаче доступов, изменении прав или добавлении новых пользователей. Если событие связано с клиентскими данными (инцидент), мы уведомляем клиента в течение 24 часов, расследуем и устраняем причины. Работоспособность платформы и инциденты можно отслеживать в режиме реального времени на странице статуса.

Мониторинг
Данные

Данные клиентов не пересекаются

Для каждого клиента создается логически изолированная среда. Доступ к платформе с логином и паролем, а также по усмотрению клиента с двухфакторной аутентификацией через SMS или email. Пароли хранятся в формате одностороннего хэширования с использованием «соли» (SHA512+salt). Аккаунт блокируется после нескольких неверных попыток ввода пароля, можно установить срок жизни пароля.

Независимая инфраструктура

Управление инфраструктурой сосредоточено внутри компании: сервера находятся в собственности, доступ к ним ограничен, а программным обеспечением управляют наши SRE-инженеры. Кроме того, мы пользуемся услугами DataLine (Tier 3 Uptime Institute), Selectel и Yandex.Cloud, которые подтвердили соответствие международными и локальным требованиям информационной безопасности.

Инфраструктура
Бизнесс

Непрерывность бизнеса

Чтобы платформа работала непрерывно даже в случае сбоев, мы дублируем данные на нескольких серверах, регулярно создаем резервные копии и тестируем их восстановление. А чтобы все шло по плану, анализируем воздействие возможных угроз на бизнес (business impact analysis, BIA), пересматриваем и тестируем план непрерывности бизнеса (business continuity planning, BCP) и план аварийного восстановления ИТ-систем (disaster recovery plan, DRP).

Для критически важных систем определяем показатели допустимой точки восстановления (recovery point objective, RPO) и допустимого времени восстановления (recovery time objective, RTO).

У кого есть доступ к данным

Mindbox icon

Сотрудники Mindbox

Менеджеры клиентских проектов видят обезличенные персональные данные, а выгрузить базы данных могут только с разрешения клиента. Другие сотрудники Mindbox получают доступ только к тем сервисам и данным, которые необходимы для работы. Их учетные записи защищены двухфакторной аутентификацией, а доступ к облачным сервисам — технологией единого входа (single sign-on, SSO).

Юзер

Выделенные роли

Клиент может создавать уникальные роли с доступом к платформе и определять их права. Продукт логирует все действия пользователей и хранит события, связанные с безопасностью. Клиент может создать список доверенных IP-адресов.

Mindbox icon

Уровни безопасности

Все клиенты и их данные защищены по умолчанию, базовая безопасность входит в тариф и не оплачивается отдельно.

Иногда крупные компании предъявляют повышенные требования к безопасности. Они избыточны для ведения обычного бизнеса, но необходимы в больших корпоративных структурах, поэтому мы предлагаем расширенные возможности безопасности (Enterprise security) за отдельную плату.

Mindbox icon

Базовая безопасность

  • Список Соответствие требованиям 152-ФЗ, GDPR и ISO 27001
  • Список Управление паролями, блокировка после неудачных попыток входа
  • Список Создание групп пользователей с разными правами доступа
  • Список Логирование действий пользователей
  • Список Двухфакторная аутентификация по email или телефону

Enterprise security

  • Список Ограничение доступа к платформе по IP
  • Список Возможность скрыть контакты клиентов от части пользователей
  • Список Выгрузка событий в SIEM
  • Скоро Single-Sign-On

Нам доверяют

750+ компаний, от ритейла до финансовых организаций, уже доверяют Mindbox данные своих клиентов.

Нужна помощь?

Если у вас остались вопросы, вы можете найти ответы в FAQ или обратиться к своему менеджеру.

Если выделенного менеджера нет или вы выявили уязвимость нашей платформы, пожалуйста, напишите на dpo@mindbox.ru