Saugumas ir įstatymų atitikimas
Vietinė debesų pagrindu paremta paslauga
SabeeApp buvo sukurta debesies pagrindu ir turi daug teigiamų aspektų. Viskas, ko jums reikia, yra interneto ryšys, naršyklė ir aktyvi SabeeApp paskyra. SabeeApp nereikia įdiegti kompiuteryje, todėl tam tikros funkcijos bei paslaugos veikia kitaip nei sena programinė įranga.
SabeeApp programa neveikia fiziniame serveryje, o AWS („Amazon Web Services“) debesies infrastruktūroje, kuri yra SAAS („Software as a Service“) platforma, aprašyta toliau.
SabeeApp naudoja vadinamąją bendrą duomenų bazę ir kodų bazę, arba, kitaip tariant, naudojasi kelių tipų infrastruktūra. Tai reiškia, kad prie vienos duomenų bazės prisijungia daugiau klientų. Mes naudojame bendrą duomenų bazę ir kodų bazę, o visi mūsų klientai naudoja šią kodų bazę arba tokio tipo diegimą. Vienas iš pagrindinių privalumų yra tai, kad kiekvienas klientas naudoja naujausią programinės įrangos versiją. Žinoma, tai nereiškia, kad dėl šios struktūros saugumas yra pažeidžiamas. Taip pat SabeeApp naudojame skirtingus vartotojo leidimus, o bendroje kelių infrastruktūrų sistemoje klientas gali būti identifikuojamas kaip kita vartotojo paskyra.
Infrastruktūra
SabeeApp programinę įrangą palengvina AWS („Amazon Web Services“) debesų sistema jų Amazon duomenų centre Airijoje. Visos AWS naudojamos paslaugos yra pagrįstos keliomis zonomis, todėl, jei viena zona neveikia, likusi sistemos dalis gali perimti visą veikimą.
- Route53
- WAF (Web Application Firewall)
- S3 (Simple Storage Service)
- ALB (Application Load Balancer)
- VPC (Virtual Private Network)
- RDS (Relational Database Service)
- ElastiCache
- Elasticsearch Service
- CloudWatch (stebėsena, pranešimai)
- KMS (Key Management Service)
- Certificate Manager
- OpsWorks
- CodeCommit
Trečiųjų šalių paslaugų teikėjai
- Beanstalk (svn, git) - Dalijimasis šaltinio kodu
- Github - Dalijimasis šaltinio kodu
- Google Analytics - analizės tikslais
- Twillio - Teksto pranešimų teikėjas
- Mandrillapp, Mailchimp - elektroninio pašto paslauga
- Techninės programos (dev, test, prod)
SabeeApp naudojame šią programavimo kalbą: PHP, Javascript, Bootstrap ir turime šiuos plėtros etapus:
Duomenų bazių saugumas, duomenų saugumas, atkūrimas po įvairių nutikimų
Kadangi tai yra debesų sistema, duomenys gali būti prarasti, jei gedimas ar problema yra susijusi su duomenų baze arba failų sistema, kurioje saugomi pdf ar kiti dokumentai.
Siekiant sumažinti duomenų praradimo riziką, naudojami šie protokolai ir sprendimai:
- Realūs duomenys yra saugomi keliose duomenų bazėse dėl nuolat kintančios duomenų bazės
- Kiekvieną vakarą daroma per kelias minutes atkuriama atsarginė kopija, iš kurių saugome paskutines 9 kopijas.
- Ryšys tarp RDS ir EC2 įrenginių vyksta šifruotu kanalu.
- Duomenų bazę galima pasiekti tik iš vidinės sistemos arba per SSH sistemą prisijungus prie pagrindinio serverio.
- Skelbtini duomenys duomenų bazėje saugomi su skirtingu šifravimu, pavyzdžiui, kredito kortelės su 2 lygių šifravimu ir slaptažodžiai su SHA-512 šifravimu.
- Duomenų bazė suskirstyta į 3 zonas, o vienai zonai sugedus – automatiškai darbą perims kita zona.
Incidentų valdymo procedūra
SabeeApp kiekvienas incidentas išsprendžiamas laikantis griežto protokolo ir yra dokumentuojamas. Šis protokolas yra prieinamas kiekvienam SabeeApp darbuotojui vidiniam naudojimui.
Įvykio atveju naudojame šiuos procesus:
- Problemos nustatymas
- Pranešimas apie problemą visai SabeeApp komandai
- Jei reikia, nurodome incidento koordinatorių
- Problemos perdavimas klientui, jei incidentas yra susijęs su klientu
- Problemos pašalinimas
- Stengiamės išvengti, kad problema nepasikartotų (jei reikia, patikriname ir pakeičiame protokolą)
- Jei reikia, atkūrime duomenis ir šaltinio kodą
- Skriptų kūrimas ir paleidimas, jei reikia pakeisti / modifikuoti duomenis
- Jei reikia, informuojame techninius partnerius
- Klientų informavimas apie incidento sprendimą
- Įvykio dokumentavimas
- Infrastruktūros saugumas (Amazon saugumo priemonės, pentest, tl, MFA)
Infrastruktūros saugumas
Dėl AWS debesų sistemos administravimo, atnaujinimo ir serverių saugos problemų atsako Amazon inžinieriai. Puolimo taškas yra kiek įmanoma sumažintas dėl didelės inžinerijos ir apsaugos komandos.
Prisijungimo prie AWS kredencialai kolegoms suteikiami tik dėl rimtos priežasties ir jiems leidžiama juos naudoti tik laikantis griežtų saugumo priemonių (naudojant griežtą slaptažodį ir MFA).
Padedami trečiosios šalies, reguliariai atliekame juodos ir pilkos spalvos dėžių įsiskverbimo testus, kad nustatytume sistemos pažeidžiamumą.
Taip pat reguliariai analizuojame kodo saugumą ir kokybę naudodami SonarQube įrankį.
Visas duomenų srautas yra užšifruotas naudojant bent TLS 1.2 šifravimą, o visi mūsų saugomi duomenys yra užšifruoti.
Visi SabeeApp saugomi slaptažodžiai yra užšifruojami, mes niekada nesaugome slaptažodžių ar slaptų duomenų kaip teksto.
Vidinės sistemos našumo registravimas pagrįstas keliais lygiais.
Žmonių saugumo valdymas
- Kiekvieno kolegos darbo sutartyje yra informacija apie duomenų tvarkymą ir susitarimą dėl paslapties saugojimo. Kiekvieno naujo kolegos mokymai apima duomenų apsaugos ir saugumo mokymus.
- Ryšys su AWS suteikiamas tik dėl rimtos priežasties ir jei tai būtina darbui.
- Mūsų inžinieriai turi tik mūsų tiesioginės duomenų bazės skaitymo teises.
- Vidiniam naudojimui ir, kur įmanoma, naudojame tik didelio saugumo slaptažodžius, valdomus 1 Password, ir, kur įmanoma, naudojame MFA identifikavimą.
- Mūsų kolegos reguliariai dalyvauja saugos ir duomenų saugumo mokymuose.
Sertifikatai
- PCI - DSS Level1 AOC
- NTAK sertifikatai
- VIZA sertifikatai