Creatio обеспечивает наивысшую степень безопасности
и конфиденциальности накопленных данных, поддерживая ее на уровне
сети и приложения, а также на физическом уровне доступа
Безопасность
на всех уровнях
Безопасность доступа и сети
Комплексная многоуровневая защита Creatio
позволяет отслеживать все операции и события в сети,
при этом безопасность каждого уровня контролируется отдельно.
Мониторинг сетевого трафика предотвращает попытки несанкционированного доступа
и обеспечивает дополнительную защиту системы от DDoS-атак.
Системы сетевого мониторинга (брандмауэры, SIEM, IPS / IDS и т.п.) обеспечивают устойчивость к атакам
и постоянный контроль в режиме реального времени, а также пресекают подозрительные действия
еще на сетевом уровне.
Контроль подключений на уровне приложения и баз данных позволяет изолировать, фильтровать и управлять законными подключениями в рамках интеграционных процессов.
Сеть Creatio защищена
с использованием нескольких протоколов безопасности
для предотвращения неавторизованного доступа:
HTTPS (TLS 1.2), TCP/IP и пр.
Уникальный ID и пароль пользователя, а также все передаваемые данные шифруются 128-битным ключом, который гарантирует безопасность хранения, обработки и передачи информации.
Коммутаторы и брандмауэры размещены на каждом уровне,
что позволяет устанавливать персональные политики безопасности (ограничение доступа по IP, типам устройств, доменам, географии и т.п.)
и контролировать доступ к приложению.
Физическая безопасность
Физический доступ к дата-центрам одобрен
и проверен сотрудниками авторизованных хостинг-провайдеров.
Данные Creatio хранятся в географически разных точках на профессионально оборудованных хостинг-площадках,
исключающих несанкционированный доступ к серверам. Автономные источники питания и высококлассные системы защиты
обеспечивают полную сохранность данных и бесперебойную работу дата-центра в режиме 24/7. Инфраструктура хранения данных позволяет выполнять регулярное архивирование критически важной информации и безопасное резервное копирование данных.
Центры обработки данных соответствуют международным отраслевым стандартам,
включая GDPR, ISO 27001, HIPAA, SOC 1, SOC 2.
Защита на уровне приложения
В отличие от других облачных решений, которые хранят информацию разных заказчиков в единой базе данных, приложения Creatio имеют отдельную базу данных
для каждого клиента. Это делает невозможным получение доступа к информации компании другим клиентам, использующим приложение. В дополнение к этому,
данные в Creatio хранятся в зашифрованном виде.
Использование технологии единого входа WebSSO упрощает аутентификацию пользователей, а также предоставляет возможность быстро и безопасно встраивать Creatio в информационную среду предприятия. А поддержка распространенного стандарта SAML 2.0 обеспечивает подключение наиболее часто используемых провайдеров аутентификации.
Расширенные инструменты позволяют системному администратору устанавливать необходимую сложность пароля, лимитировать количество попыток входа и срок действия пароля для учетных записей. Пароли хешируются
с использованием соли и шифруются с учетом требований OWASP.
Гибкая многоуровневая система администрирования Creatio позволяет выстроить иерархию ролей
как с учетом организационной структуры предприятия
и позиции сотрудников в этой структуре, так и с учетом функциональных ролей пользователей. При этом набор правил может быть определен не только для ролей,
но и для отдельных пользователей системы.
Creatio способна реализовать любые требования
по разграничению доступа к данным и операциям
в системе: от полного доступа к отдельным разделам
для всех пользователей до полного запрета
со специальными разрешениями для некоторых ролей. Поддерживается администрирование по объектам,
записям и колонкам, с возможностью ограничить доступ
на чтение, изменение и удаление данных.
Системный журнал протоколирует критически важные операции, предоставляя администраторам и специалистам по информационной безопасности полные сведения
о передаче прав на объекты, изменениях в структуре ролей
и уровнях доступа, удачных и неудачных попытках авторизации, изменениях в системных настройках
и многом другом.
Внешний контроль безопасности
Программные продукты Creatio проходят ежегодную экспертизу для подтверждения соответствия требованиям
международных стандартов. Помимо этого, мы используем внешние программные и аппаратные средства,
а также услуги мониторинга для обеспечения безопасности на всех уровнях процесса.
Соответствие
стандартам
Обеспечение безопасности программных средств и процессов компании реализовано согласно лучшим мировым практикам и неоднократно проверено независимыми экспертами, о чем свидетельствует сертификат соответствия ISO / IEC 27001: 2013, выданный службе облачных сервисов и программному обеспечению Creatio. Кроме того, Creatio соответствует требованиям облачной безопасности
HIPAA и регламенту GDPR.
Сканеры
уязвимости
Creatio разрабатывается в соответствии с «Политиками безопасной разработки программного обеспечения», требования которых применяются к каждому выпуску новой версии продукта на этапе предварительного тестирования. Для диагностики возможных проблем с безопасностью в Creatio используется специализированное ПО.
Обучение
и контроль процессов
В соответствии с требованиями ISO 27001 проводятся регулярные тренинги и тесты. Некоторые из тем, охваченных в программе обучения сотрудников, включают: обзор политики информационной безопасности компании, правила построения безопасности, общие рабочие процедуры и правила взаимодействия между подразделениями и др.
Внешний аудит
Программные продукты Creatio проходят регулярный контроль соответствия, а также внешнее сканирование и тестирование защиты с использованием различных сторонних инструментов.
Это гарантирует отсутствие критических уязвимостей, которые могли бы повлиять
на конфиденциальность, целостность или доступность веб-приложения.
Тестирование
на проникновение
Creatio проводит периодические внутренние и внешние тесты на проникновение для сети и программного обеспечения с доступом в интернет. Все программные средства проходят систематическое
тестирование на проникновение с привлечением отраслевых экспертов. Методология оценки безопасности приложений структурирована по категориям на основе OWASP Testing Guide.
Политика безопасности
В штате компании состоят сертифицированные специалисты, в обязанности которых
входит регулярный контроль и оптимизация принятых мер безопасности.