Bezpieczeństwo w TimeCamp

Dbanie o bezpieczeństwo danych naszych klientów i użytkowników jest dla nas priorytetem. W związku z tym TimeCamp posiada certyfikat ISO27001 oraz spełnia wymagania RODO.

Masz pytania lub uwagi?
Prosimy o kontakt pod adresem [email protected].

Kontakt

INFRASTRUKTURA

Infrastruktura w chmurze

Wszystkie nasze usługi działają w chmurze. Nie hostujemy ani nie uruchamiamy własnych routerów, load balancerów, serwerów DNS ani serwerów fizycznych. Nasza platforma jest oparta na Amazon Web Services. AWS zapewnia zaawansowane zabezpieczenia.

Hosting

Platforma TimeCamp jest zbudowana na AWS RDS, EC2. Nasza infrastruktura jest zarządzana za pomocą szablonów Terraform, a wszystkie zmiany w infrastrukturze przechodzą przez nasz proces wdrażania na GitHub i Jenkins. Istnieje również możliwość uruchomienia TimeCamp na własnej infrastrukturze, takiej jak dedykowany serwer na AWS w regionie wybranym przez firmę. Nasz zespół wdrożeniowy pomaga w jej konfiguracji.

Monitorowanie i ochrona bezpieczeństwa na poziomie sieci

Na froncie aplikacji i w zasobach front-endowych używamy Cloudflare, aby zmniejszyć ryzyko ataków DDoS.

Szyfrowanie danych

Szyfrowanie w tranzycie: Wszystkie dane wysyłane do lub z naszej infrastruktury są szyfrowane w tranzycie za pomocą najlepszych praktyk przy użyciu Transport Layer Security (TLS). Możesz sprawdzić nasze raporty SSLLabs dla aplikacji. Szyfrowanie w spoczynku: Dane aplikacji są przechowywane w bazach danych AWS RDS, które szyfrują wszystkie dane w spoczynku.

Plan ciągłości działania i odzyskiwania danych po awarii

Regularnie tworzymy kopie zapasowe danych aplikacji i regularnie próbujemy je przywrócić. Gwarantuje to szybkie odzyskanie danych w przypadku awarii. Wszystkie nasze kopie zapasowe są szyfrowane. TimeCamp nie zarządza fizycznym centrum danych. Awarie obliczeniowe i pamięci masowej są obsługiwane w sposób transparentny przez AWS.

BEZPIECZEŃSTWO APLIKACJI

Monitorowanie

Co tydzień przeprowadzamy automatyczne skanowanie pod kątem luk w zabezpieczeniach, dwa razy w roku dogłębne oceny bezpieczeństwa i regularne kontrole wyrywkowe. Monitorujemy również, rejestrujemy i śledzimy wyjątki. Uruchamiamy automatyczne obserwatory ruchu, które analizują całą wewnętrzną komunikację aplikacji, identyfikują awarie i próby naruszenia bezpieczeństwa oraz powiadamiają nas o tym w czasie rzeczywistym. Gromadzimy i przechowujemy logi, aby zapewnić ścieżkę audytu aktywności aplikacji.

Bezpieczeństwo w procesie tworzenia oprogramowania

Wszystkie zależności są kontrolowane w ramach naszego zautomatyzowanego procesu kompilacji, który wykrywa wszelkie luki w zabezpieczeniach. Każde zadanie jest sprawdzane pod kątem luk w zabezpieczeniach przed wdrożeniem, zgodnie z najlepszymi praktykami i ramami bezpieczeństwa (OWASP Top 10, SANS Top 25).

Odpowiedzialne ujawnianie informacji

Wszelkie luki w zabezpieczeniach można zgłaszać, kontaktując się z [email protected] Do zgłoszenia należy dołączyć dowód. Odpowiemy tak szybko, jak to możliwe.

WEWNĘTRZNE POLITYKI BEZPIECZEŃSTWA

Dostęp do infrastruktury

Uwierzytelnianie dwuskładnikowe i VPN są wymagane do uzyskania dostępu do naszych kont AWS. Infrastruktura w AWS i bazy danych są dostępne przy użyciu specjalnie utworzonych profili z ograniczonymi uprawnieniami.

Kontrola dostępu i multi-tenancy

Aplikacja TimeCamp podlega ścisłej kontroli dostępu, wykorzystując mechanizm kontroli dostępu oparty na uprawnieniach. Nasze produkty są zgodne z następującymi procedurami bezpieczeństwa i monitorowania związanymi z informacjami:

  • Udokumentowane i zdefiniowane standardy i procedury bezpieczeństwa
  • Umowa o poufności pracowników
  • Weryfikacja pracowników mających dostęp do danych klientów
  • Dostęp do informacji przyznawany wyłącznie pracownikom, którzy muszą pracować z danymi klienta lub serwerami hostującymi.

ZGODNOŚĆ Z PRZEPISAMI

RODO

TimeCamp przestrzega ogólnego rozporządzenia o ochronie danych (RODO), w tym prawa do bycia zapomnianym i przenoszenia danych. Celem RODO jest ochrona prywatnych informacji o obywatelach UE i zapewnienie im większej kontroli nad ich danymi osobowymi. Zachęcamy do skontaktowania się z nami pod adresem [email protected], aby uzyskać więcej informacji na temat tego, w jaki sposób przestrzegamy RODO lub zapoznać się z naszą polityką prywatności.

ISO27001

TimeCamp posiada certyfikat ISO27001 wydany przez ISOCERT (międzynarodowy złoty standard bezpieczeństwa informacji). Skontaktuj się z nami na [email protected], jeżeli chciałbyś otrzymać kopię certyfikatu.