Ten artykuł jest również dostępny w:
Ten artykuł został przetłumaczony przy użyciu tłumaczenia maszynowego. Może zawierać błędy lub dziwnie brzmiące tłumaczenia. Mimo to uważamy, że warto go przeczytać w swoim ojczystym języku. Daj nam znać, czy ten artykuł okazał się pomocny, lub przekaż inne uwagi u dołu artykułu.

Ten artykuł opisuje niektóre z technik i procedur, które stosujemy.

W Easy LMS bezpieczeństwo Twoich danych jest naszym priorytetem. Nieustannie próbujemy łamać nasze własne systemy zabezpieczeń, aby zidentyfikować słabe punkty.

Architektura oprogramowania

Easy LMS jest zbudowany na bazie naszego własnego systemu zarządzania treścią (CMS). System ten jest stworzony na szczycie open-source'owego frameworka Yii PHP. Yii wykorzystuje architekturę opartą o model-widok-kontroler (MVC), która pozwala na tworzenie ustrukturyzowanego, czystego i łatwego w utrzymaniu kodu. Yii jest uważany za solidny, szybki i bezpieczny.



Yii Framework

Wykorzystujemy wiele z wbudowanych w Yii funkcji bezpieczeństwa, takich jak szyfrowanie danych, zapobieganie XSS oraz sanityzacja danych. Dane wejściowe użytkownika są zawsze walidowane na serwerze, nawet jeśli walidacja po stronie klienta jest również używana.

Uwierzytelnianie

Autoryzacja ról

Mamy kilka typów użytkowników, którzy mogą uzyskać dostęp do systemu, jak widać na poniższym diagramie. Każda z ról ma dostęp do dodatkowych części systemu i danych. Od poziomu wsparcia wzwyż używamy rodzaju loginu, który różni się od loginu klienta jako dodatkowej warstwy bezpieczeństwa.



Najczęściej zadawane pytania

Poniżej znajduje się lista pytań dotyczących bezpieczeństwa, które często otrzymujemy.

Gdzie znajdują się wasze serwery?

Easy LMS działa w chmurze Amazon Web Services, w skrócie AWS. Serwery i bazy danych są fizycznie zlokalizowane we Frankfurcie, w Niemczech.

Jak chronicie moje dane?

Chronimy Twoje dane na kilka sposobów:

Wszystkie dane są przechowywane w bazie danych, która jest w pełni zaszyfrowana. Oznacza to, że dane w bazie danych mogą być odzyskane tylko w określony sposób.
Dane osobowe, o które prosimy, są przechowywane w bazie danych przy użyciu dodatkowej warstwy szyfrowania. Oznacza to, że nawet jeśli baza danych zostanie naruszona, napastnik nie będzie w stanie odczytać danych bez klucza do ich odszyfrowania.
Hasła są przechowywane przy użyciu wysoce bezpiecznego algorytmu haszującego. Inaczej niż w przypadku innych danych, nie jest możliwe odzyskanie oryginalnego hasła z jego skrótu.
Hasła nigdy nie są w żaden sposób wysyłane do nikogo.
Cała komunikacja pomiędzy klientem (Tobą) a serwerem odbywa się za pomocą szyfrowanego połączenia.

Kto ma dostęp do moich danych?

Ty, przez cały czas. Możemy mieć dostęp do niektórych z Twoich danych, na przykład dla celów wsparcia i faktur. Nigdy nie udostępniamy Twoich danych bez Twojej zgody.

Kto ma dostęp do bazy danych?

Dostęp do naszej bazy danych mają tylko autoryzowani użytkownicy. Autoryzacja ta jest obsługiwana przez osobny system, dzięki czemu żadne konto Easy LMS nie ma bezpośredniego dostępu do bazy danych. System ten jest osiągalny tylko z naszej wewnętrznej sieci.

Czy przetwarzacie i przechowujecie dane osobowe?

Prosimy tylko o te dane, które są nam potrzebne, np. do rozliczeń. Dane te przechowujemy zaszyfrowane w naszej bazie danych.

Czy macie procedurę na wypadek wycieku danych?

Tak. W przypadku wykrycia wycieku danych natychmiast podejmiemy działania, aby najpierw naprawić wyciek i uniemożliwić dostęp z zewnątrz. W ciągu 48 godzin od wykrycia wycieku danych poinformujemy o tym zainteresowane strony.

Jakiego typu szyfrowania używacie?

Komunikacja odbywa się za pomocą protokołu HTTPS (TLS 1.2).
Wszystkie dane są zaszyfrowane przy użyciu AES-256.
Hasła są przechowywane przy użyciu bcrypt-hashing.
Dane osobowe są przechowywane przy użyciu szyfrowania CBC lub ECB (w zależności od rodzaju i zastosowania).

Jak używamy szyfrowania dla danych wrażliwych?

Hasła są haszowane za pomocą bcrypt
Dane osobowe, inne niż adresy e-mail, są szyfrowane za pomocą AES-128-CBC

Czy wspierasz jednokrotne logowanie?

Tak. Możesz przeczytać o metodach SSO, które wspieramy w tym artykule artykule.

Czy masz kopie zapasowe?

Tak. Wykonujemy codzienne snapshoty naszej bazy danych z okresem retencji 35 dni.

Jakich platform programowych używacie?

Ubuntu ≥ 18,04
Alpine ≥ 3,12
Apache ≥ 2.4
PHP ≥ 7.4
MariaDB ≥ 10.4

Czy przeprowadzasz przeglądy kodu?

Tak, wszystkie zmiany w kodzie wymagają code review. Zmiana nie może wejść na produkcję bez zgody co najmniej dwóch deweloperów.

Jaki rodzaj wsparcia posiadasz?

Możesz się z nami skontaktować poprzez naszą stronę internetową. Nasz dział pomocy technicznej jest dostępny od 08:30 do 23:00 (CET), od poniedziałku do piątku. Nasi konsultanci wsparcia mówią po holendersku, angielsku, niemiecku, francusku, portugalsku i hiszpańsku. Zapewniamy wsparcie dla wszystkich innych języków przy pomocy tłumaczenia maszynowego.

Jak długo trwa odpowiedź na zgłoszenie?

To zależy od rodzaju zapytania, ale zazwyczaj w ciągu 48 godzin. Średnio odpowiadamy w ciągu 67 minut.

Czy przeprowadzacie testy penetracyjne?

Zastanawiamy się nad tym. Niektórzy z naszych klientów przeprowadzają własne testy penetracyjne na naszym systemie i dzielą się swoimi wynikami. Oczywistym jest, że wszelkie problemy, które się pojawiają, są natychmiastowo rozpatrywane.

Czy mogę przeprowadzić test penetracyjny?

Zapraszamy do tego, wielu naszych klientów również to robi. Prosimy jednak o poinformowanie nas o tym z góry, abyśmy wiedzieli, że może wystąpić dodatkowa presja na nasze serwery.

Jak często aktualizujecie oprogramowanie?

Nieustannie. Nieustannie pracujemy nad poprawkami bezpieczeństwa oprogramowania i nowymi funkcjami. Kiedy tylko pojawi się poprawka do błędu lub problemu bezpieczeństwa, natychmiast ją wdrażamy.

Jak testujecie swoje oprogramowanie?

Testujemy nasze oprogramowanie zarówno manualnie jak i automatycznie. Przed każdym wdrożeniem, nasz system przechodzi przez kilka etapów. Jednym z nich jest faza testowania. Podczas tej fazy, zautomatyzowany system uruchamia tysiące automatycznych testów, takich jak testy jednostkowe, funkcjonalne i integracyjne. Dzięki temu mamy pewność, że jakiekolwiek zmiany wprowadzane w naszym oprogramowaniu nie naruszą innych funkcjonalności lub zabezpieczeń. Nawet jeśli tylko jeden test się nie powiedzie, build jest odrzucany i odsyłany do działu rozwoju w celu poprawienia.

Czy wszyscy pracownicy, którym zlecono przetwarzanie danych, zobowiązali się do zachowania tajemnicy danych?

Tak, każdy z naszych pracowników podpisuje deklarację, że nigdy nie podzieli się żadnymi informacjami z osobami, które nie są w to zaangażowane.

Czy macie wdrożone jakiekolwiek procesy hardeningowe?

Tak, mamy:

Wszystkie poprawki bezpieczeństwa naszych systemów operacyjnych są zainstalowane.
Mamy zainstalowane programy antywirusowe i antyspyware na wszystkich naszych systemach.
Mamy wdrożoną ochronę punktów końcowych.
Wszystkie poświadczenia logowania, zarówno na naszych stacjach roboczych, jak i w platformie, muszą być silne. W razie potrzeby korzystamy z uwierzytelniania dwuskładnikowego.
Blokujemy wszystkie komputery automatycznie, gdy ktoś opuszcza swoją stację roboczą.
Mamy zainstalowaną zaporę sieciową.

W jaki sposób wymuszana jest separacja między siecią korporacyjną z jej poświadczeniami a środowiskiem produkcyjnym?

Dane uwierzytelniające w sieci korporacyjnej są inne niż te ze środowiska produkcyjnego. Nie umożliwiamy dostępu do środowiska produkcyjnego za pomocą formy SSO z naszej sieci korporacyjnej. Tak więc logowanie na środowisku produkcyjnym odbywa się za pomocą innych danych uwierzytelniających, które są dostępne tylko dla devopsów i sysadminów. Logi dostępu są utrzymywane.

Jak zorganizowane jest zarządzanie dostępem i kluczami?

CTO jest odpowiedzialny za zarządzanie dostępem i kluczami oraz przydzielanie uprawnień. Przydzielamy dostęp tylko wtedy, gdy jest to niezbędne do pracy danego pracownika.

Czy jesteście zgodni z GDPR?

GDPR weszło w życie 25 maja, 2018. Mamy przyjemność potwierdzić, że Easy LMS jest w pełni zgodny z GDPR. Zaktualizowaliśmy naszą Politykę Prywatności, Regulamin oraz operacje zgodnie z GDPR. Jeśli potrzebujesz umowy o przetwarzaniu danych z nami, daj nam znać, a my wyślemy Ci dokument cyfrowy do podpisania. Więcej informacji na temat GDPR i tego, co się z nim wiąże, można znaleźć tutaj.

Czy ten artykuł był pomocny?
Anuluj
Dziękuję!