POLITYKA BEZPIECZEŃSTWA
Dokumentacja
Opracowaliśmy polityki bezpieczeństwa, instrukcje i procedury oraz standardy dotyczące: bezpieczeństwa informacji, bezpieczeństwa systemów informatycznych oraz bezpieczeństwa fizycznego (osób i mienia).
BEZPIECZEŃSTWO INFORMACJI
Role i zadania
Wyznaczyliśmy menadżerów odpowiedzialnych za poszczególne obszary i procesy biznesowe oraz procesy związane z bezpieczeństwem informacji i systemów informatycznych. Powołaliśmy Administratora Bezpieczeństwa Informacji i zgłosiliśmy go do Generalnego Inspektora Ochrony Danych Osobowych
KOPIE BEZPIECZEŃSTWA
Separacja danych
Nigdy nie wykorzystujemy danych Użytkowników platformy Nais w środowisku developerskim oraz testowym. Kopie bezpieczeństwa oraz kopie zapasowe danych przechowujemy odrębnie.
STANDARDY BEZPIECZEŃSTWA
Bezpieczeństwo
strony trzeciej
Korzystamy wyłącznie ze sprawdzonych, renomowanych dostawców usług. W procesie wyboru dostawcy szczególną uwagę poświęcamy deklarowanej przez dostawcę zgodności ze standardami bezpieczeństwa takimi jak: ISO 27001, ISO 27017, ISO 27018, ISO 22301 SOC, SABSA, SOX, PCI DSS, HIPAA/HITECH, EU-U.S. Privacy Shield.
SDLC
Proces wytwarzania
Wykorzystujemy metodykę SDLC (System Development Life Cycle) oceniając wpływ proponowanych rozwiązań na bezpieczeństwo oraz ochronę prywatności. Nasze rozwiązania przed wdrożeniem podlegają testom funkcjonalnym i bezpieczeństwa.
INFRASTRUKTURA INFORMATYCZNA
Infrastruktura i środowisko
Ulokowaliśmy naszą infrastrukturę informatyczną na terenie Polski. Wirtualizujemy usługi w celu zapewnienia bezpieczeństwa infrastruktury. Utrzymujemy niezależne środowiska platformy Nais: developerskie, testowe i produkcyjne.
TESTY BEZPIECZEŃSTWA
Testy bezpieczeństwa
Wprowadziliśmy program testów funkcjonalnych przed wdrożeniem zaprojektowanych rozwiązań. Opracowaliśmy i realizujemy program okresowych testów wydajnościowych. Prowadzimy okresowe testy bezpieczeństwa polegające na identyfikacji znanych podatności i odporności platformy Nais na próby przełamania zabezpieczeń.
UPRAWNIENIE OSOBOWE
Bezpieczeństwo osobowe
W zarządzaniu bezpieczeństwem informacji i systemów informatycznych kierujemy się zasadami uprawnionego dostępu, przywilejów i wiedzy. Dostęp do informacji chronionych mają jedynie uprawnione osoby, w zakresie niezbędnym do realizacji powierzonych im zadań. Dbamy o poziom świadomości naszych pracowników w zakresie dotyczącym zagrożeń związanych z ochroną informacji.
CERTYFIKATY SSL
Szyfrowanie danych
Wprowadziliśmy certyfikaty SSL w celu zabezpieczenia transmisji danych.
CDN ORAZ LOADBALANCING
Kontrola ruchu sieciowego i ochrona przed DDOS
Korzystamy z rozwiązań typu CDN oraz LoadBalancing w celu zapewnienia kontroli ruchu i ochrony przed atakami DDOS.
CZAS DOSTĘPNOŚCI INFRASTRUKTURY
Gwarantowany poziom świadczenia usługi
Zastosowaliśmy rozwiązania monitorujące dostępność infrastruktury platformy Nais oraz usług zintegrowanych. Ustaliliśmy gwarantowany czas dostępności infrastruktury platformy Nais na poziomie 99.9%.
Ustaliliśmy dopuszczalny maksymalny czas niedostępności platformy Nais na 49 minut/miesiąc.
SYSTEM ZARZĄDZANIA
System Zarządzania Bezpieczeństwem Informacji
Opracowaliśmy, wdrażamy i utrzymujemy System Zarządzania Bezpieczeństwem Informacji wzorowany na normach ISO z grupy norm ISO 27000.
