מדיניות אבטחה

התאמה לתקנים

ISO 27001:2022

מערכת ניהול אבטחת מידע

ISO 27017

שירותי ענן

ISO 27018

מזהה אישי בענן

ISO 27032

אבטחת מידע בתחום הסייבר

ISO 27001:2022
ISO/IEC 27001 תקן בינלאומי למערכות ניהול אבטחת מידע (ISMS). התעודה מראה שארגון קיים מערכת לניהול סיכונים הקשורים לאבטחת המידע שברשותו או שהוא מטפל בו, ושהמערכת מצייתת לכל הכללים והעקרונות הטובים בתחום התקן הבינלאומי הזה.

ISO 27018 2019 
ISO/IEC 27018 הרחבה ל-ISO 27001 תקן בינלאומי לגבי פרטיות בשירותי ענן.

ISO 27017 2019 
ISO 27017 תקן אבטחה שפותח עבור ספקי שירותי ענן ולמשתמשים על מנת ליצור סביבת ענן בטוחה יותר ולהפחית את סיכון בענן הנגרם על ידי בעיות באבטחה.

ISO 27032 2019 
תקן זה עוסק באבטחת האינטרנט, כלומר, הגנה על שירותי האינטרנט הקשורים ועל המערכות והרשתות הקשורות לטכנולוגיות המידע כהרחבה של אבטחת הרשת.

אבטחת מוצר

אבטחת רשת ויישומים

תכונות אבטחה נוספות

אבטחת מוצר

SSO
SAML  הכניסה היחידה (SSO) מאפשרת לך לאמת משתמשים במערכות שלך מבלי לדרוש מהם להזין פרטי התחברות נוספים.

הרשאות
אנחנו מגדירים רמות הרשאה במערכת היישום והרשת לפי תפקיד. אנו מאפשרים למנהל המערכת להגדיר הרשאות נוספות אם הן נדרשות.

אחסון סיסמאות ופרטי התחברות
SHIFT  מחייבת תקן לפריקות הסיסמה והפרטים המזהים נשמרים באמצעות PBKDF (bcrypt)

זמינות
ל-SHIFT זמינות מערכת ברמת 99.9% או יותר.

אבטחת רשת ויישומים

אירוח ואחסון נתונים אזוריים
השירותים והנתונים של SHIFT מתארחים במתקני AZURE Web Services במערב אירופה הולנד

כישלון וDR
SHIFT  נבנה מתוך מחשבה על התאוששות מאסון. כל התשתית והנתונים שלנו מפוזרים על פני 3 אזורי זמינות תכלת וימשיכו לעבוד אם אחד ממרכזי הנתונים הללו ייכשל.

ענן פרטי וירטואלי
כל השרתים שלנו נמצאים בתוך הענן הפרטי הווירטואלי שלנו (VPC) עם רשימות בקרת גישה לרשת (ACL) המונעות פניות לא מורשות להגיע לרשת הפנימית שלנו.

גיבויים וניטור
ברמת האפליקציה, אנו מייצרים יומני ביקורת לכל פעילות, שולחים יומנים ל-GRAFANA לצורך ניתוח ומשתמשים ב-Blob למטרות ארכיון. כל הפעולות שבוצעו בקונסולות הייצור או באפליקציית SHIFT נרשמות ביומן.

הרשאות ואימות
הגישה לנתוני לקוחות מוגבלת לעובדים מורשים שדורשים זאת לצורך עבודתם. SHIFT מוגש ב-100% מעל https. SHIFT מפעילה רשת ארגונית אפס אמון. אין משאבים ארגוניים או הרשאות נוספות מלהיות ברשת SHIFT. יש לנו כניסה יחידה (SSO), אימות דו-גורמי (2FA).

הצפנה
כל הנתונים הנשלחים אל או מ-SHIFT מוצפנים במעבר באמצעות הצפנה של 256 סיביות. נקודות הקצה של ה-API ואפליקציות שלנו הן TLS/SSL. זה אומר שאנחנו משתמשים רק בחבילות צופן חזקות ויש לנו תכונות כמו HSTS ו- Perfect Forward Secrecy מופעלות במלואן. אנו גם מצפינים נתונים במנוחה באמצעות אלגוריתם הצפנה AES-256 הסטנדרטי בתעשייה.

בדיקות וסריקת פגיעות
SHIFT משתמש בכלי אבטחה של צד שלישי כדי לסרוק ללא הרף לאיתור נקודות תורפה. צוות האבטחה המסור שלנו מגיב לבעיות שעלו. פעם בשנה אנו מזמינים מומחי אבטחה של צד שלישי לביצוע בדיקות חדירה מפורטות ביישום ובתשתית Shift. SHIFT משתמש גם בפתרון ORCA המריץ סריקת פגיעות ומציע תיקון אפשרי להגברת האבטחה

תגובה לאירוע
SHIFT מיישמת פרוטוקול לטיפול באירועי אבטחה הכולל הליכי הסלמה, הפחתה מהירה וניתוח שלאחר המוות. כל העובדים מעודכנים במדיניות שלנו.

תכונות אבטחה נוספות

הדרכה
כל העובדים מסיימים הדרכות אבטחה ומודעות מדי שנה.

מדיניות
SHIFT פיתחה מערך מקיף של מדיניות אבטחה המכסה מגוון נושאים. מדיניות זו מתעדכנת בתדירות גבוהה ומשתפת עם כל העובדים.

סודיות
כל חוזי העובדים כוללים הסכם סודיות.

*סיום תהליך תקינה נובמבר 2023