Безпека
на усіх рівнях

Creatio забезпечує найвищу ступінь безпеки
і конфіденційності зібраних даних, підтримує її на рівні мережі
та додатку, а також на фізичному рівні доступу

     

Безпека доступу та мережі

Комплексний багаторівневий захист Creatio
дозволяє відстежувати всі операції і події у мережі,
при цьому окремо контролює безпеку на кожному рівні.

Моніторинг мережевого трафіку запобігає спробам несанкціонованого доступу та забезпечує додатковий захист системи від DDoS-атак.

Системи контролю мережі (брандмауери, SIEM, IPS / IDS і т. д.) забезпечують стійкість до атак
і постійний моніторинг у режимі реального часу, а також ліквідують підозрілі дії ще на мережевому рівні.

Контроль з’єднань на рівні додатку
та баз даних дозволяє ізолювати, фільтрувати і керувати законними під’єднаннями в межах інтеграційних процесів.

Мережа Creatio захищена
із використанням декількох протоколів безпеки для запобігання неавторизованому доступу:
HTTPS (TLS 1.2), TCP/IP тощо.

Унікальний ID і пароль користувача,
а також усі передані дані шифруються 128-бітним ключем, який гарантує безпеку збереження, обробки
та передачі інформації.

Комутатори та брандмауери розміщені на кожному рівні, що дозволяє визначати персональні політики безпеки (обмеження доступу по IP, типам пристроїв, доменам, географії та інше) і контролювати доступ до додатку.

     

Фізична безпека

Фізичний доступ до дата-центрів схвалено
та перевірено співробітниками авторизованих хостинг-провайдерів.

Дані Creatio зберігаються у географічно різних точках на професійно обладнаних хостинг-майданчиках,
які унеможливлюють несанкціонований доступ до серверів. Автономні джерела живлення і висококласні системи захисту
забезпечують повну цілісність даних і безперебійну роботу дата-центру в режимі 24/7. Інфраструктура збереження даних дозволяє
виконувати регулярну архівацію критично важливої інформації і безпечне резервне копіювання даних.

Центри обробки даних відповідають міжнародним галузевим стандартам,
у тому числі GDPR, ISO 27001, HIPAA, FedRAMP, SOC 1, SOC 2.

     

Захист на рівні додатку

Окрема база даних

На відміну від інших хмарних рішень, які зберігають інформацію різних замовників у єдиній базі даних, додатки Creatio мають окремі бази даних для кожного клієнта.
Це унеможливлює отримання доступу до інформації компанії іншими клієнтами, які використовують додаток. Окрім цього, дані в Creatio зберігаються у зашифрованому вигляді.

Підтримка єдиної авторизації

Використання технології єдиного входу WebSSO спрощує автентифікацію користувачів, а також надає можливість швидко та безпечно вбудовувати Creatio в інформаційне середовище підприємства. Підтримка поширеного стандарту SAML 2.0 забезпечує з’єднання із найбільш актуальними провайдерами автентифікації.

Захист паролю

Розширені інструменти не лише надають можливість системному адміністратору встановити необхідний рівень складності паролю, а й лімітувати кількість спроб для входу
і термін дії паролю облікових записів. Паролі хешуються
із використанням солі та шифруються з врахуванням вимог OWASP.

Ролі та дозволи

Гнучка багаторівнева система адміністрування Creatio дозволяє побудувати ієрархію ролей як з урахуванням організаційної структури підприємства та позиції співробітників у цій структурі, так і з урахуванням функціональних ролей користувачів. При цьому набір правил може бути визначений не лише для ролей, але й для окремих користувачів системи.

Права доступу

Creatio здатна реалізувати будь-які вимоги щодо розмежування доступу до інформації та операцій у системі:
від повного доступу до окремих розділів усім користувачам
до цілковитої заборони зі спеціальними дозволами
для деяких ролей. Підтримується адміністрування об’єктамів, дописів та колонок з можливістю обмеження доступу до читання, редагування та видалення даних.

Журнал аудиту / обліку

Системний журнал протоколює критично важливі операції
та надає адміністраторам і фахівцям з інформаційної безпеки вичерпні відомості щодо передачі прав на об’єкти, змін у структурі ролей та рівнях доступу, вдалих і невдалих спроб авторизації, змін у системних налаштуваннях та багато іншого.

     

Зовнішній контроль безпеки

Програмні продукти Creatio проходять щорічну експертизу для підтвердження відповідності вимогам
міжнародних стандартів. Окрім цього, ми використовуємо зовнішні програмні та апаратні засоби,
а також послуги моніторингу для забезпечення цілковитої безпеки на усіх рівнях процесу.

Відповідність стандартам

Гарантування безпеки програмних засобів і процесів компанії реалізовано відповідно до кращих світових практик і безліч разів перевірено незалежними експертами, про що свідчить сертифікат відповідності
ISO / IEC 27001: 2013, виданий службі хмарних сервісів і програмному забезпеченню Creatio.
До того ж, Creatio відповідає вимогам хмарної безпеки HIPAA та регламенту GDPR.

Сканери
вразливості

Creatio розробляється відповідно до «Політик безпечної розробки програмного забезпечення»,
вимоги яких застосовуються до кожного випуску нової версії продукту на етапі попереднього тестування.
Для діагностики можливих проблем із безпекою у Creatio використовується спеціалізоване ПЗ.

Навчання
і контроль
процесів

Відповідно до вимог ISO 27001 ми проводимо регулярні тренінги та тести. Деякі теми, які входять
до навчальної програми працівників, містять наступне: огляд політики інформаційної безпеки компанії, правила побудови безпеки, загальні робочі процедури та правила взаємодії між підрозділами тощо.

Зовнішній
аудит / облік

Програмні продукти Creatio проходять систематичний контроль відповідності, а також зовнішні сканування і тестування захисту з використанням різноманітних інструментів третіх сторін. Це гарантує відсутність критичних вразливостей, які б могли вплинути на конфіденційність, цілісність чи доступність веб-додатку.

Тестування
на проникнення

Terrasoft проводить періодичне зовнішнє і внутрішнє тестування на проникнення для мережі та програмного забезпечення із доступом до інтернету. Усі програмні засоби проходять постійне тестування на проникнення із залученням галузевих фахівців. Методологія оцінки безпеки додатків структурована за категоріями на підґрунті OWASP Testing Guide.

     

Політики безпеки

У штаті компанії працюють спеціалісти, до обов’язків яких
входить регулярний контроль та оптимізація набутих заходів безпеки.