Мы периодически сталкиваемся с одним из главных страхов бизнеса - утечкой данных. Информационная безопасность компании может пострадать от внешних киберугроз и внутренней диверсии, когда сотрудники или подрядчики крадут данные компании. Утечку по вине мошенников можно пресечь благодаря комплексу мероприятий по информационной безопасности, сотрудники в штате находятся под контролем, а как дела обстоят с третьими лицами - подрядчиками и аутсорсерами? Заглянем к специалистам assol.cloud и узнаем, как все устроено.
Используем сертифицированный сервис хранения паролей
Мы являемся авторизованным партнёром производителя менеджера паролей для бизнеса Passwork. Этот сервис шифрует данные в браузере клиента, никто кроме заказчика, а также тех, кому предоставили доступ не могут получить зашифрованную информацию. Мы сами используем его для разграничения доступов к системам клиентов, а также предлагаем клиентам как отдельное решение. Это гарантирует сохранность паролей.
Гарантируем конфиденциальность
Заключая с нами соглашение, пользователь также подтверждает политику обработки персональных данных и положение о конфиденциальности. Они гарантируют юридически, что данные наших пользователей под защитой. ( https://assol.cloud/legal/)
Уменьшаем риск компрометации данных вашими сотрудниками
Данные каждого клиента - это отдельный контейнер (в каждой из систем, которые мы используем). Даже если сотрудник одного из клиентов с максимальным доступом (например, местный ИТ-специалист) решит скомпрометировать данные:
1. Мы сможем доказать, что это сделал именно он.
2. Данный недобросовестный специалист не сможет получить информацию о существовании других наших клиентов.
Ведем жесткую политику внутренней безопасности
Каждый сотрудник, работающий с данными клиента, подписывает положение о конфиденциальности и выполняет ряд требований:
- Мы работаем по принципу минимального возможного доступа, т.е. сотруднику предоставляется доступ только в том объёме, который необходим для выполнения своей функции, но не больше.
- Используем максимальную защиту учётных данных, которую позволяет каждое приложение (например, двухфакторная аутентификация).
- Мы не используем обезличенные данные доступа. У двух сотрудников не будет одной учётной записи, а ,значит, каждый лично несёт ответственность за действия, которые произошли под его учёткой и будет делать максимум, чтобы её не скомпрометировать.
Обеспечиваем защиту данных при работе с сервисами
Мы работаем только с проверенными и сертифицированными разработчиками бизнес-приложений и сервисов, а также дополнительно обеспечиваем безопасную работу с ними:
- Где возможно, устанавливается шифрование данных. Доступ к ключу шифрования есть только у клиента, а значит у нас нет прямого доступа к данным.
- Если речь идёт о хранении персональных данных, мы проверяем на соответствие законодательству РФ (где хранятся и обрабатываются данные).
Проводим внутренний аудит безопасности
Систематически проверяем собственные системы на возможность несанкционированного доступа: наши специалисты по информационной безопасности пытаются взломать системы, чтобы найти слабые места. При обнаружении рисков, проблема оперативно устраняется.