Безпека даних сервісу «Вчасно»
1. Забезпечення збереження документа

Для зберігання документів використовується сервіс Amazon S3 з дзеркалом сховища в іншому регіоні.
Стійка інфраструктура Amazon S3 забезпечує надійне зберігання +99,999999999% об'єктів. Резервні копії даних розподіляються між декількома об'єктами і кількома пристроями на кожному об'єкті.



2. Забезпечення безпеки доступу

1). Безпека мережі
Використання https. Доступ до сайту здійснюється тільки по протоколу https з сучасним набором шифрів. Застарілі протоколи (SSL3 і нижче) не підтримуються. Доступ в сервера інфраструктури «Вчасно» із зовнішнього світу закритий фаєрволом, з політикою за замовчуванням блокувати весь вхідний трафік.

Адміністрування серверів здійснюється тільки з локальної мережі.

Внутрішніми ресурсами регулярно проводяться тестування на проникнення в систему, використовуючи утиліти OWASP, ect.

2). Безпека акаунтів
● Вхід через логін і пароль. Первинна реєстрація тільки при підтвердженні по КЕП/ЕЦП.
● Двуфакторна авторизація.
● Доступ по API дозволено тільки з використанням унікального токена користувача.

3). Розмежування прав доступу
Поділ прав на виконання класів дій на рівні кожного користувача:
● Перегляд документів
● Коментування документів
● Завантаження документів в сервіс
● Збереження документів на локальний комп'ютер
● Друк документів
● Видалення документів
● Підписання і відхилення документів
● Запрошення співробітників
● Редагування інформації про компанію
● Редагування і видалення співробітників

Є можливість обмежити доступ до кабінету в сервісі «Вчасно» за IP адресою для кожного користувача.



3. Конфіденційність

1). Обмеження доступу до документів співробітниками «Вчасно».
Співробітники компанії не мають доступу до файлів клієнтів. Співробітники компанії не мають доступу до кабінету інших компаній.

2). Обмеження доступу до фізичних серверів «Вчасно».
Сервери розміщені в трьох незалежних датацентрах, кожен з яких має діючий сертифікат ISO / IEC 27001 до: 2013. Доступ до серверної інфраструктури в цих дата центрах має обмежений список технічних фахівців. Для здійснення доступу, проводиться письмове погодження візиту з повідомленням уповноваженої особи. c. Можливість шифрування файлів документів ключами клієнта при завантаженні і читанні з сховища даних Amazon S3.

3). Сервіс записує дії користувачів в сервісі для можливості відновлення історії і визначення причин подій.



4. Забезпечення справжності документа

Після завантаження файлу з документом в сервіс, файл зберігається в сховища даних Amazon S3 і не змінюється в процесі накладення або читання КЕП/ЕЦП.
Файли КЕП/ЕЦП зберігаються окремо від файлу документа. Періодично ми вибірково перевіряємо відповідності КЕП/ЕЦП і оригіналу документа в базі.



5. Безпека продукту

1). Захищене зберігання ключів і паролів.
Всі ключі шифрування і паролі стають доступними для програми лише в момент запуску програми в production середовищі. На етапі розробки і тестування використовуються інші ключі і паролі.

2). Контейнеризація додатку.
Додаток «Вчасно» запущено в обмеженому середовищі, в якому є доступ тільки до необхідних для роботи програми файлів. Навіть вразливість в додатку не дозволить зловмиснику отримати доступ до серверів.

3). Поділ середовища розробки і продукту.
Модулі програми «Вчасно», які створюються, доповнюються або тестуються не впливають на основний контейнер додатку. Перед застосуванням змін ми проводимо обов'язкові тести і код рев'ю для запобігання помилок у користувачів.



6. Відмовостійкість і доступність

1). Своєчасне оновлення серверів.
На операційну систему автоматично встановлюються всі оновлення безпеки. Для оновлення ядра системи використовується механізм Ksplice, який дозволяє встановити оновлення на льоту, без перезавантаження сервера. Таким чином, оновлення серверів відбувається без будь-яких затримок.

2). Відмовостійка архітектура, що забезпечує максимально повний і постійний доступ до сервісу «Вчасно».

У наших центрах обробки даних і в нашій хмарній інфраструктурі використовуються:

● серверний парк знаходиться в 3х датацентрах (ЦОД) рівня Tier 3 в Києві;
● кілька каналів для підключення до інтернету з необхідним резервуванням;
● мережева інфраструктура з резервуванням, що включає комутатори, маршрутизатори і брандмауери;
● засоби балансування навантаження;
● сервери і віртуальні машини;
● основне сховище даних Amazon S3.

І Amazon, і наші постачальники послуг розподіленого розміщення інфраструктури забезпечують відмовостійке обслуговування: живлення, кондиціювання та пожежогасіння. Ми створюємо резервні копії всього вмісту не рідше, ніж раз в день. Ми не зберігаємо резервні копії на портативних або знімних носіях.