Security
Compliance
Documentele de conformitate, certificările și acordurile de procesare a datelor sunt disponibile pe Trust Center .
Acord de Procesare a Datelor (DPA)
Trust CenterRaport ISAE 3000 Type 2
Trust CenterCertificare ISO 27001
Trust Center
The network infrastructure our services run on is certified as a business partner, attesting compliance with the technical and security standards required of vendors in this ecosystem.
How we approach security
Ca furnizor de services de găzduire și securitate cibernetică, înțelegem cât de critică este protecția datelor în peisajul digital de azi. Frecvența și sofisticarea atacurilor cibernetice ne obligă să prioritizăm permanent securitatea datelor clienților și să le păstrăm încrederea. Implementăm măsuri de securitate aliniate cu standardele din industrie și cele mai bune practici, ca să protejăm informațiile sensibile și integritatea operațiunilor noastre. Aplicăm riguros protocoalele de securitate și suntem dedicați să menținem cele mai înalte standarde de excelență în domeniu.
How we maintain compliance
Înțelegem importanța respectării continue a practicilor și standardelor de securitate. De aceea folosim o platformă de automatizare a conformității care evaluează și monitorizează permanent controalele și procedurile noastre. Prin integrarea cu sistemele și instrumentele existente, această platformă ne oferă o imagine completă asupra posturii noastre de securitate, ne ajută să identificăm rapid eventuale probleme și ne asigură că rămânem mereu aliniați cu cele mai bune practici din industrie, oferind clienților și partenerilor noștri încrederea că le oferim un mediu securizat.
What happens if a compliance deviation occurs
Dacă platforma de automatizare a conformității semnalează o abatere, primim o alertă imediată și luăm măsuri pentru a o remedia rapid și a reintra în conformitate. Acest proces ne dă încrederea că oferim un mediu securizat clienților și partenerilor noștri și ne ajută să ne menținem reputația de organizație de trust.
Procedures & controls
Written security policies
Our information security policies and procedures are written and reviewed periodically, to ensure client data protection and effective incident response.
Vulnerability and penetration testing
Aplicațiile și infrastructura sunt verificate constant prin scanare automată de vulnerabilități, iar testarea de penetrare printr-un audit extern, independent, este în curs de formalizare ca proces anual. Problemele identificate sunt remediate intern și raportate conducerii. Suplimentar, traficul este filtrat printr-un firewall de aplicație web, conexiunile sunt protejate împotriva atacurilor de tip brute-force, iar infrastructura este protejată împotriva atacurilor DDoS.
Criptarea datelor
Encrypting sensitive data ensures it cannot be read by unauthorized parties, both in transit and at rest.
Autentificare multi-factor
Multi-step authentication prevents unauthorized access to company systems, so a compromised password alone is not enough to compromise client data.
Ciclu de dezvoltare securizat
Orice modificare de cod trece printr-un proces de revizuire înainte de a ajunge în producție, cu separare clară a rolurilor și testare automată de securitate a dependențelor și a codului, ca să reducem riscul ca un cod cu intenții rele să ajungă la clienți. Serverele și rolurile din infrastructură sunt izolate între ele, iar resursele se ajustează automat în funcție de trafic, ca o problemă pe un sistem să nu se propage către celelalte.
Monitorizare
Access logs and network traffic are continuously monitored, for fast detection of and response to suspicious activity or potential security breaches.
Team training and awareness
All employees periodically go through security training programs, to recognize and avoid risks like phishing or social engineering fraud, reducing the risk of human error.
Access control and screening
Access to company systems is reviewed periodically and strictly limited to what is needed for each role. Employees, vendors, and collaborators are screened before onboarding and before being granted access to data or systems.
Malware protection
Files stored on servers are automatically and continuously scanned for malicious content, and any infected file is isolated immediately, before it can affect other accounts or services.
Physical security of data centres
Our infrastructure runs in data centres with strictly controlled physical access, continuous video monitoring, and power and connectivity redundancy, so there is no single point of failure.
Email protection
Our email infrastructure goes through three successive layers of anti-spam and anti-virus filtering, isolated from the rest of our systems, so malicious messages do not reach users or compromise other services.
SSL/TLS encryption
All hosted domains, including subdomains, come with a wildcard SSL certificate included, so traffic to the site and applications is encrypted by default, with no extra configuration needed from the client.
Isolated backups, the 3-2-1 rule
Data is automatically copied across three backup sets, kept on different storage media, one of which is physically isolated from the production infrastructure, so a failure or security incident on one system does not also affect the backup copies.
Resistance to DDoS attacks
Our infrastructure is protected by a distributed denial-of-service mitigation service, capable of absorbing large volumes of malicious traffic, so client services remain available.
Network-level protection
Traffic is continuously filtered based on the reputation of source IP addresses, automatically blocking known sources of malicious activity before they reach applications.
Protection against brute-force attacks
Repeated login attempts with incorrect credentials are automatically detected and blocked, so an attacker cannot guess passwords through successive attempts.
Resilience and availability
Our infrastructure is built for autoscaling and role separation across servers, with no single point of failure, so an isolated issue on one system does not affect the availability of other services.
Security controls at the client's fingertips
We provide self-service account security tools: IP and country blocking, file permission checks, a secure password generator, encrypted file transfer, and FTP/SFTP/SSH access disabled by default, enabled only on request.
Vulnerability reporting
We consider the security of our systems a priority, but no platform is 100% immune to vulnerabilities. If you found one, we want to know, so we can fix it as fast as possible. Send an email to security@zebrabyte.ro with a description of the issue, reproduction steps, and the potential impact. We will not take legal action against you if you report in good faith and follow the rules below.
What you should not do
- • Do not run automated scanners on our infrastructure without our explicit consent.
- • Do not exploit the vulnerability beyond what is necessary to demonstrate it.
- • Do not access, modify, or delete data that is not yours.
- • Do not disclose the issue publicly before it is resolved.
What is out of scope
Clickjacking, CSRF without demonstrable impact, attacks requiring physical access to the user device, denial-of-service, rate limiting, missing headers like DNSSEC/CAA without practical impact, or unauthorized automated scans.
Frequently Asked Questions despre securitate și conformitate
Tot ce vrei să știi despre cum protejăm datele clienților.
What certifications and accreditations do you have?
Operăm sub un cadru de conformitate care include GDPR (înregistrare ICO), ISO 27001, ISAE 3000 Type 2 și Cyber Essentials Plus. Detalii complete despre subprocesatori, certificări și măsuri tehnice sunt disponibile pe Trust Center.
How can I get the compliance documents?
Acordul de procesare a datelor, rapoartele de audit și certificările noastre sunt disponibile pe Trust Center, la cerere.
How do I report a security vulnerability?
Send detalii (sistemul afectat, pașii de reproducere, impactul) la security@zebrabyte.ro. Confirmăm primirea, investigăm și te ținem la curent pe tot parcursul rezolvării.
What is out of scope for the reporting program?
We do not accept reports for: clickjacking, CSRF without demonstrable impact, attacks requiring physical access to the user device, denial-of-service testing, rate limiting, or automated scans without our explicit consent.