Ten artykuł jest również dostępny w:
Niniejszy artykuł opisuje niektóre z technik i procedur, które posiadamy.

W Easy LMS bezpieczeństwo Twoich danych jest naszym najwyższym priorytetem. Nieustannie staramy się łamać własne systemy bezpieczeństwa w celu identyfikacji słabych punktów.

Architektura oprogramowania

Easy LMS jest zbudowany na bazie naszego własnego systemu zarządzania treścią (CMS). System ten jest rozwijany w oparciu o open-source'owy framework Yii PHP. Yii wykorzystuje architekturę opartą na modelu-widok-kontrolerze (MVC), która pozwala na uporządkowany, czysty i łatwy w utrzymaniu kod. Yii jest uważany za solidny, szybki i bezpieczny.



Yii Framework

Wykorzystujemy wiele wbudowanych w Yii funkcji bezpieczeństwa, takich jak szyfrowanie danych, zapobieganie XSS i sanityzacja danych. Dane wejściowe użytkownika są zawsze sprawdzane na serwerze, nawet jeśli używana jest również walidacja po stronie klienta.

Autoryzacja

Rola Autoryzacja

Mamy kilka typów użytkowników, którzy mogą uzyskać dostęp do systemu, jak widać na poniższym schemacie. Dla każdego poziomu bezpieczeństwa, każda rola ma dostęp do dodatkowych części systemu i danych. Od poziomu wsparcia technicznego do poziomu wyższego używamy typu loginu, który różni się od loginu klienta jako dodatkowej warstwy bezpieczeństwa.



Często zadawane pytania

Poniżej znajduje się lista pytań dotyczących bezpieczeństwa, które często otrzymujemy.

Where are your servers located?

Easy LMS działa w chmurze Amazon Web Services lub w skrócie AWS. Serwery i bazy danych znajdują się fizycznie we Frankfurcie, w Niemczech. Twoje dane są chronione przez Privacy Shield. Przeczytaj więcej o Amazon hosting, prywatność i zasady UE tutaj. Jeśli masz konto Enterprise Owl Account i chcesz mieć możliwość przechowywania danych w innej lokalizacji, skontaktuj się z nami, aby uzyskać więcej informacji.

Jak chronisz moje dane?

Chronimy Twoje dane na kilka sposobów:

Dane osobowe, o które prosimy, są przechowywane w bazie danych z wykorzystaniem szyfrowania. Oznacza to, że nawet jeśli baza danych zostanie naruszona, napastnik nie będzie w stanie odczytać danych bez klucza do ich odszyfrowania.
Hasła są przechowywane przy użyciu wysoce bezpiecznego algorytmu szyfrującego. Inaczej niż w przypadku innych danych, nie jest możliwe odzyskanie oryginalnego hasła z jego haszu.
Hasła nigdy nie są wysyłane do nikogo w żaden sposób.
Cała komunikacja pomiędzy klientem (tobą) a serwerem odbywa się za pomocą szyfrowanego połączenia.

Kto ma dostęp do moich danych?

Tak, przez cały czas. Możemy uzyskać dostęp do niektórych z Twoich danych, na przykład w celu uzyskania pomocy technicznej i wystawienia faktury. Nigdy nie udostępniamy Państwa danych bez Państwa zgody.

Kto ma dostęp do bazy danych?

Nasza baza danych jest dostępna tylko dla autoryzowanych użytkowników. Ta autoryzacja jest obsługiwana przez oddzielny system, więc żadne konto Easy LMS nie ma bezpośredniego dostępu do bazy danych. System ten jest dostępny tylko z poziomu naszej własnej sieci wewnętrznej.

Czy przetwarzasz i przechowujesz dane osobowe?

Prosimy tylko o dane, które są nam potrzebne, na przykład do rozliczeń. Przechowujemy te dane zaszyfrowane w naszej bazie danych.

Czy masz procedurę na wypadek wycieku danych?

Tak. W przypadku wykrycia wycieku danych natychmiast podejmiemy działania mające na celu pierwszą naprawę wycieku i wyłączenie dostępu zewnętrznego. Poinformujemy zainteresowane strony w ciągu 48 godzin o wykryciu wycieku danych.

Jakiego rodzaju szyfrowania używasz?

Komunikacja odbywa się przez https (SSL, TLS 1.2)
Hasła są przechowywane przy użyciu bcrypt-hashingu
Dane osobowe są przechowywane przy użyciu szyfrowania CBC lub EBC (w zależności od rodzaju i zastosowania)

Jak używamy szyfrowania dla wrażliwych danych?

Hasła są wypłukane przez rozdymkę
Adresy e-mail są szyfrowane przez aes-128-ecb
Inne dane osobowe są szyfrowane przez aes-128-cbc

Czy wspierasz jednokrotne logowanie?

Tak, popieramy następujące metody SSO:

Azure AD
CAS
OKTA
AFAS na żywo
OAuth
SAML

#Masz kopie zapasowe?

Tak, mamy. Robimy codzienne zdjęcia z naszej bazy danych z 35-dniowym okresem przechowywania.

What software platforms do you use?

Debian ≥ Jessie
Apache ≥ 2,4
PHP ≥ 7,2
MariaDB ≥ 10,2

Czy robisz recenzje kodu?

Tak, wszystkie zmiany w kodzie wymagają przeglądu kodu. Zmiana nie może zostać wprowadzona do produkcji bez zgody co najmniej dwóch programistów.

What type of support do you have?

Możesz się z nami skontaktować poprzez naszą stronę internetową. Nasz dział wsparcia jest dostępny od 09:30 do 23:00 (CET). Nasi konsultanci wsparcia mówią po holendersku, angielsku, francusku, portugalsku, hiszpańsku. Zapewniamy wsparcie we wszystkich innych językach przy pomocy tłumaczenia maszynowego.

Jak długo trwa odpowiedź na prośbę?

Zależy to od rodzaju prośby, ale zazwyczaj w ciągu 48 godzin. Średnio odpowiadamy na nie w ciągu 67 minut.

Robisz testy penetracyjne?

Zajmujemy się tym. Niektórzy z naszych klientów przeprowadzają własne testy na piórze w naszym systemie i dzielą się swoimi wynikami. Jest rzeczą oczywistą, że wszelkie pojawiające się problemy wymagają naszej natychmiastowej uwagi.

Czy mogę wykonać test penetracyjny?

Zapraszamy do tego, wielu z naszych pozostałych klientów również. Prosimy o poinformowanie nas o tym z góry, abyśmy wiedzieli, że może wystąpić dodatkowa presja na nasze serwery.

Jak często aktualizujesz oprogramowanie?

Ciągle. Nieustannie pracujemy nad poprawą bezpieczeństwa oprogramowania i nowymi funkcjami. Zawsze, gdy pojawia się poprawka do błędu lub problemu z bezpieczeństwem, natychmiast ją wdrażamy.

How do you test your software?

Testujemy nasze oprogramowanie zarówno ręcznie jak i automatycznie. Przed każdym wdrożeniem nasz system przechodzi kilka etapów. Jednym z nich jest faza testów. W trakcie tej fazy zautomatyzowany system przeprowadza tysiące zautomatyzowanych testów, takich jak testy jednostkowe i funkcjonalne. Dzięki temu mamy pewność, że jakiekolwiek zmiany w naszym oprogramowaniu nie naruszą innych funkcji lub zabezpieczeń. Nawet jeśli tylko jeden test zawiedzie, konstrukcja jest odrzucana i wysyłana z powrotem do działu rozwoju, aby ją naprawić.

Czy używasz Adobe Flash?

Nie, nie zrobimy tego, ani nigdy.

Czy wszyscy pracownicy, którym zlecono przetwarzanie danych, są zobowiązani do zachowania tajemnicy danych?

Tak, każdy z naszych pracowników podpisuje deklarację, że nigdy nie podzieli się żadnymi informacjami ze stronami, które nie są w to zaangażowane.

Czy masz jakieś procesy hartowania?

Tak, mamy:

Wszystkie łatki zabezpieczające naszych systemów operacyjnych są zainstalowane.
We wszystkich naszych systemach mamy zainstalowane programy antywirusowe i antyszpiegowskie.
Mamy zainstalowaną ochronę punktów końcowych.
Wszystkie dane do logowania, zarówno na naszych stacjach roboczych, jak i na platformie, muszą być silne. Używamy dwuskładnikowego uwierzytelniania, gdy jest to konieczne.
Blokujemy wszystkie komputery automatycznie, gdy ktoś opuszcza swoją stację roboczą.
Mamy firewall na miejscu.

How is separated between the corporate network with its credentials and the production environment?

Kwalifikacje sieci korporacyjnej różnią się od tych ze środowiska produkcyjnego. Nie zezwalamy na dostęp do środowiska produkcyjnego za pomocą formy SSO z naszej sieci korporacyjnej. Tak więc logowanie się do środowiska produkcyjnego działa z różnymi referencjami, które są dostępne tylko dla devopsów i sysadminów.

Jak jest zorganizowany twój dostęp i zarządzanie kluczami?

CTO jest odpowiedzialny za dostęp i zarządzanie kluczami oraz nadawanie uprawnień. Przydzielamy dostęp tylko wtedy, gdy jest to konieczne do wykonywania pracy przez pracownika.

Are you GDPR-compliant?

PKBR wszedł w życie 25 maja 2018 roku. Mamy przyjemność potwierdzić, że Easy LMS jest w pełni zgodny z GDPR. Zaktualizowaliśmy naszą Politykę Prywatności, Regulamin i operacje zgodnie z GDPR. Jeśli potrzebujesz podpisać z nami Umowę z Procesorem, daj nam znać, a my wyślemy Ci cyfrowy dokument do podpisania. Więcej informacji na temat GDPR i tego, co się z nim wiąże, można znaleźć tutaj.

Czy ten artykuł był pomocny?
Anuluj
Dziękuję!