FAQ з питань безпеки сервісу «Вчасно»
1. Наскільки надійно зберігаються документи клієнтів?
Для зберігання документів використовується сервіс Amazon S3 , розташований в Німеччині. Стійка інфраструктура Amazon S3 забезпечує надійне зберігання об’єктів. Для збереження конфіденційності файлів клієнтів використовується шифрування AES-256.
2. Чи мають доступ до документів клієнтів співробітники ТОВ “Вчасно сервіс”?
Архітектура рішення передбачає обмеження доступу до файлів клієнтів співробітниками компанії в декілька етапів.
3. Як перевіряється автентичність збережених документів?
Після завантаження файлу з документом у сервіс, файл зберігається в сховищі даних Amazon S3 і не змінюється в процесі накладання чи читання КЕП. Файли КЕП зберігаються окремо від файлу документа.
4. Як зберігаються ключі та паролі?
Усі ключі шифрування та паролі стають доступними для програми тільки в момент запуску програми у середовищі. Паролі користувачів зберігаються в зашифрованому вигляді.
Управління ключами шифрування здійснюється за допомогою AWS KMS.
5. Чи є API?
У “Вчасно” є API для інтеграції з вашими ERP системами, документація за посиланням.
Доступ до API видається за допомогою токена в кабінеті користувача з відповідними правами.
6. Як виконується аутентифікація у веб-застосунку https://vchasno.ua/
На даний момент вхід виконується через логін та пароль. Також доступна можливість аутентифікації через Google OAuth 2.0.
7. Чи присутня 2FA?
Так, присутня, за номером телефону.
8. Яка парольна політика сервісу “Вчасно”?
Пароль має містити щонайменше 8 символів, хоча б одну цифру і один символ (!”#$%*-/:;=?)
Додатково реалізований механізм захисту від підбору паролю.
9. Чи є функція SSO?
На даний момент – ні.
10. Як працює розділення прав доступу у веб-застосунку?
Розділення прав на виконання типів дій на рівні кожного користувача:
- Перегляд документів
- Коментування документів
- Завантаження документів у сервіс
- Збереження документів на локальному комп’ютері
- Друк документів
- Видалення документів
- Підписання та відхилення документів
- Запрошення працівників
- Редагування інформації про компанію
- Редагування та видалення працівників
11. Чи ведеться логування дій користувачів у компанії?
Так, для клієнтів: сервіс записує дії користувачів компанії у сервісі для можливості перегляду адміністраторами клієнтів.
12. В яких датацентрах та де розміщується середовище “Вчасно”?
Вчасно розміщується на хмарному сервісі AWS, в регіоні Франкфурт (Європа).
Датацентри AWS володіють великим спектром галузевих стандартів. Більше інформації про сертифікації, якими володіє AWS, за посиланням.
13. За рахунок чого досягається стійкість до відмов?
Відмовостійка архітектура на базі AWS, забезпечує максимально повний та постійний доступ до сервісу в декількох зонах доступності в комплексі з:
- кілька каналів для підключення до Інтернету
- необхідним резервуванням;
- засоби балансування навантаження;
- основне сховище даних Amazon S3;
- резервування та кластеризація компонентів системи;
- захист від DDoS атак.
14. Чи присутнє резервне копіювання систем ТОВ “Вчасно сервіс”
Так, системи налаштовані таким чином, щоб і застосунки, і бази даних копіювалися не рідше разу на день.
Резервні копії зберігаються в зашифрованому вигляді та періодично тестуються.
Для баз даних доступні PITR, що дозволяє відмінити зміни на будь-які моменти часу.
Ми не зберігаємо резервні копії на портативних або знімних носіях.
15. Чи виконується сканування систем на вразливості?
Так. Сканування на вразливості виконується як самого веб-застосунку так і інфраструктури. Сканування налаштовано в автоматичному режимі. У випадку знайдення нових вразливостей – сповіщаються відповідальні члени нашої команди.
16. Чи виконуються тести на проникнення?
“Вчасно” виконує періодичні комплексні тести на проникнення із залученням незалежних експертів, яких ми обираємо на прозорих тендерних умовах.
17. Чи присутній цикл безпечної розробки програмного забезпечення (SDLC)?
Так, ми використовуємо такі практики. Розробка проходить декілька стадії – від формування ТЗ до виходу на продуктове середовище, включаючи тестування на відповідних середовищах, тестування QA та перевірки технологіями SAST, DAST. При розробці враховуються основні можливі вразливості OWASP TOP 10 в процесі розробки безпечних додатків.
На тестових середовищах відсутні продуктивні дані. Розробники не використовують практику “хардкоду” облікових даних. Виконується періодичне ревью програмного коду.
18. Як відбувається патч менеджмент систем ТОВ “Вчасно сервіс”?
Залежно від рівня терміновості, якщо були знайдені оновлення, які закривають вразливості високого та критичного рівня, відповідно до метрик CVSS, – не пізніше одного тижня.
Інші ОЕМ оновлення встановлюються за потреби.
19. Чи перевіряються документи на віруси?
Один із компонентів системи – антивірус ESET, який перевіряє на предмет вірусів усі завантажені документи користувачів.
20. Як забезпечується шифрування даних?
Шифрування даних можна розділити на at rest та in motion.
- at rest – забезпечується шифруванням AES-256;
- in motion – забезпечується шифруванням TLS не нижче версії 1.2. Довжина ключа RSA 2048 біт.