Informacijos saugumo politika

UAB “Gorampa” informacijos saugumo valdymo sistema apima programinės įrangos sprendimus tiekimo grandinės procesų valdymui. “GoRamp” yra skirtas suteikti įmonėms tvirtus, debesų pagrindu pagrįstus valdymo sprendimus, kurie atitiktų specifinius šiuolaikinių tiekimo grandinių verslo poreikius.

Siekdami padėti įgyvendinti savo misiją, sukūrėme ir įdiegėme išsamią, tačiau pragmatišką informacijos saugumo valdymo sistemą, atitinkančią visus taikomus teisinius ir norminius reikalavimus bei ISO/IEC 27001:2022 standartą, taip:

UAB “Gorampa” turi pareigą savo klientams, darbuotojams, tiekėjams ir paslaugų teikėjams saugoti informacijos turto konfidencialumą, vientisumą ir prieinamumą.

Šių aukštų standartų atitikimas yra visos UAB “Gorampa” darbuotojų atsakomybė. Mes esame bendrai įsipareigoję veiksmingai veikti informacijos saugumo valdymo sistemai ir siekti šios politikos ir iš jos kylančių tikslų.

Ar sprendimų teikėjas saugo audito seką, kurie vartotojai atliko kokius veiksmus kada (jei debesies sprendimas yra audito ataskaita pasirašyta?)

Taip

Kaip atliekamos atsarginės kopijos/atkūrimas? Kaip šios atsarginės kopijos saugomos ne vietoje?

Svarbūs duomenų atsarginę kopiją kartą per 1 valandą kasdien ir kartą 7 dienas AWS įrankiais ir saugomi AWS debesų sprendime.

Ar sprendimų teikėjas užšifruoja visus duomenų perdavimus, įskaitant visus duomenų perdavimus iš serverio į serverį, arba duomenis ramybės būsenoje duomenų centruose?

Visi duomenų perdavimai tarp serverio į serverį ir klientas-serveris yra šifruojami SSL.

Kaip paslaugų teikėjas atskiria kiekvieno kliento duomenis?

Mes esame debesų sprendimas, todėl neleistina fizinė prieiga prie duomenų yra apsaugota AWS. Loginė prieiga yra apsaugota vartotojo identifikavimu pagal stiprią slaptažodžių politiką ir papildomai galėtų būti apsaugota dviejų veiksnių autentifikavimu.

Kokie kibernetinių grėsmių tipai, kuriuos sušvelnina antrojo veiksnio naudojimas, apima?

Sukčiavimas apsimetant, Brute-force atakos, Pavogti slaptažodžiai, Kai kurios socialinės inžinerijos atakos, Keylogging, Credential įdaras, Man-in-the-Middle kredencialų vagystė

Kokias saugumo užduotis vykdo teikėjas, kokio tipo saugumo incidentus sušvelnina teikėjas (o už kokias užduotis ir incidentus lieka atsakingas klientas)?

Klientas atsakingas tik už vidaus politiką, pavyzdžiui, naudoti stiprius slaptažodžius ir įgalinti dviejų veiksnių autentifikavimą visiems vartotojams.

Kaip paslaugų teikėjas užtikrina, kad jų darbuotojai dirbtų saugiai?

Mes naudojame vidaus saugumo ir NDA politiką.

Ar jūsų įmonė kada nors buvo paskirstytos paslaugos atsisakymo atakos (DDoS) auka, ir jei taip, kaip jūsų įmonė reagavo?

Mūsų infrastruktūra atitinka AWS Shield standartą kaip DDoS atsparios architektūros dalį, apsaugančią tiek žiniatinklio, tiek ne žiniatinklio programas.

Ar jūsų įmonė kada nors patyrė neteisėtą prieigą prie klientų duomenų?

Ne

Ar sprendimas leidžia atskirti programas ir duomenų bazę skirtinguose serveriuose, ar jie turi būti tame pačiame serveryje?

Programos ir duomenų bazės serveriai yra skirtinguose serveriuose. Mūsų infrastruktūrą organizuoja mikropaslaugų vadovai. Mikropaslaugos leidžia didelę programą atskirti į mažesnes nepriklausomas dalis, o kiekviena dalis turi savo atsakomybės ir leidimo sritį.

Kuris autentifikavimo mechanizmas naudojamas (pvz., Salted Challenge Response Authentication Mechanism...)?

Salted Challenge Response autentifikavimo mechanizmas

Kuris algoritmas naudojamas slaptažodžiui saugoti duomenų bazėje?

Klientas atsakingas tik už vidaus politiką, pavyzdžiui, naudoti StrOnbCrypt ir Argon2 maišymo saugoti vartotojo passwordsg slaptažodžius ir įgalinti dviejų veiksnių autentifikavimo visiems vartotojams.

Kas yra programinės įrangos technologija ir paslaugų tiekėjas

Nginx, PHP, MySQL, Redis

Ar duomenys yra užšifruoti

Taip, duomenys šifruojami pereinant, ramybės būsenoje ir atsarginėje kopijoje; AES 256

Ar “GoRamp” turi duomenų saugojimo politiką?

Taip, perskaitykite Bendrąsias sąlygas