Sari la conținut

Securitate

GDPRISO 27001ISAE 3000 Type 2Cyber Essentials PlusPCI DSS

Conformitate

Documentele de conformitate, certificările și acordurile de procesare a datelor sunt disponibile pe Trust Center .

Acord de Procesare a Datelor (DPA)

Trust Center

Raport ISAE 3000 Type 2

Trust Center

Certificare ISO 27001

Trust Center
Certificare Business Partner pentru infrastructura de rețea

Infrastructura de rețea pe care rulează serviciile noastre este certificată ca partener de business, atestând conformitatea cu standardele tehnice și de securitate impuse furnizorilor din acest ecosistem.

Cum tratăm securitatea

Ca furnizor de servicii de găzduire și securitate cibernetică, înțelegem cât de critică este protecția datelor în peisajul digital de azi. Frecvența și sofisticarea atacurilor cibernetice ne obligă să prioritizăm permanent securitatea datelor clienților și să le păstrăm încrederea. Implementăm măsuri de securitate aliniate cu standardele din industrie și cele mai bune practici, ca să protejăm informațiile sensibile și integritatea operațiunilor noastre. Aplicăm riguros protocoalele de securitate și suntem dedicați să menținem cele mai înalte standarde de excelență în domeniu.

Cum ne asigurăm conformitatea

Înțelegem importanța respectării continue a practicilor și standardelor de securitate. De aceea folosim o platformă de automatizare a conformității care evaluează și monitorizează permanent controalele și procedurile noastre. Prin integrarea cu sistemele și instrumentele existente, această platformă ne oferă o imagine completă asupra posturii noastre de securitate, ne ajută să identificăm rapid eventuale probleme și ne asigură că rămânem mereu aliniați cu cele mai bune practici din industrie, oferind clienților și partenerilor noștri încrederea că le oferim un mediu securizat.

Ce se întâmplă dacă apare o abatere de conformitate

Dacă platforma de automatizare a conformității semnalează o abatere, primim o alertă imediată și luăm măsuri pentru a o remedia rapid și a reintra în conformitate. Acest proces ne dă încrederea că oferim un mediu securizat clienților și partenerilor noștri și ne ajută să ne menținem reputația de organizație de încredere.

Proceduri și controale

Politici de securitate scrise

Politicile și procedurile noastre de securitate a informației sunt scrise și revizuite periodic, ca să asigure protecția datelor clienților și un răspuns eficient la incidente.

Teste de vulnerabilitate și penetrare

Aplicațiile și infrastructura sunt verificate constant prin scanare automată de vulnerabilități, iar testarea de penetrare printr-un audit extern, independent, este în curs de formalizare ca proces anual. Problemele identificate sunt remediate intern și raportate conducerii. Suplimentar, traficul este filtrat printr-un firewall de aplicație web, conexiunile sunt protejate împotriva atacurilor de tip brute-force, iar infrastructura este protejată împotriva atacurilor DDoS.

Criptarea datelor

Criptarea datelor sensibile face ca acestea să nu poată fi citite de părți neautorizate, atât în timpul transferului, cât și atunci când sunt stocate.

Autentificare multi-factor

Autentificarea în mai mulți pași previne accesul neautorizat la sistemele companiei, ca o parolă compromisă, singură, să nu fie suficientă pentru a compromite datele clienților.

Ciclu de dezvoltare securizat

Orice modificare de cod trece printr-un proces de revizuire înainte de a ajunge în producție, cu separare clară a rolurilor și testare automată de securitate a dependențelor și a codului, ca să reducem riscul ca un cod cu intenții rele să ajungă la clienți. Serverele și rolurile din infrastructură sunt izolate între ele, iar resursele se ajustează automat în funcție de trafic, ca o problemă pe un sistem să nu se propage către celelalte.

Monitorizare

Logurile de acces și traficul din rețea sunt monitorizate continuu, pentru detecția și reacția rapidă la activitate suspectă sau potențiale breșe de securitate.

Instruire și conștientizare a echipei

Toți angajații parcurg periodic programe de instruire în securitate, ca să recunoască și să evite riscuri precum phishing-ul sau frauda de tip inginerie socială, reducând astfel riscul erorii umane.

Control acces și verificări

Accesul la sistemele companiei este revizuit periodic și limitat strict la ce e necesar pentru fiecare rol. Angajații, furnizorii și colaboratorii sunt verificați înainte de onboarding și înainte de a li se acorda acces la date sau sisteme.

Protecție împotriva malware

Fișierele stocate pe servere sunt scanate automat și continuu pentru detectarea conținutului malițios, iar orice fișier infectat este izolat imediat, înainte să afecteze alte conturi sau servicii.

Securitate fizică a centrelor de date

Infrastructura noastră rulează în centre de date cu acces fizic strict controlat, monitorizare video continuă, redundanță electrică și de conectivitate, ca să nu existe un singur punct de defecțiune.

Protecție pentru email

Infrastructura de email trece prin trei straturi succesive de filtrare anti-spam și anti-virus, izolate de restul sistemelor, ca mesajele malițioase să nu ajungă la utilizatori sau să compromită alte servicii.

Criptare SSL/TLS

Toate domeniile găzduite, inclusiv subdomeniile, beneficiază de certificat SSL wildcard inclus, ca traficul către site și aplicații să fie criptat implicit, fără configurare suplimentară din partea clientului.

Backup-uri izolate, regula 3-2-1

Datele sunt copiate automat pe trei seturi de backup, păstrate pe medii de stocare diferite, dintre care unul izolat fizic de infrastructura de producție, ca o defecțiune sau un incident de securitate pe un sistem să nu afecteze și copiile de siguranță.

Rezistență la atacuri DDoS

Infrastructura este protejată printr-un serviciu de mitigare a atacurilor de tip denial-of-service distribuit, capabil să absoarbă volume mari de trafic malițios, ca serviciile clienților să rămână disponibile.

Protecție la nivel de rețea

Traficul este filtrat continuu pe baza reputației adreselor IP de origine, blocând automat surse cunoscute de activitate malițioasă înainte ca acestea să ajungă la aplicații.

Protecție împotriva atacurilor de tip brute-force

Tentativele repetate de autentificare cu date incorecte sunt detectate și blocate automat, ca un atacator să nu poată ghici parole prin încercări succesive.

Reziliență și disponibilitate

Infrastructura este construită pentru autoscalare și separarea rolurilor între servere, fără punct unic de defecțiune, ca o problemă izolată pe un sistem să nu afecteze disponibilitatea celorlalte servicii.

Controale de securitate la îndemâna clientului

Punem la dispoziție instrumente de auto-administrare a securității contului: blocare de adrese IP și țări, verificarea permisiunilor fișierelor, generator de parole sigure, transfer de fișiere criptat, și acces FTP/SFTP/SSH dezactivat implicit, activabil doar la cerere.

Raportarea vulnerabilităților

Considerăm securitatea sistemelor noastre o prioritate, dar nicio platformă nu este 100% imună la vulnerabilități. Dacă ai descoperit una, vrem să aflăm, ca să o remediem cât mai rapid posibil. Trimite un email la security@zebrabyte.ro cu o descriere a problemei, pașii de reproducere și impactul potențial. Nu vom întreprinde acțiuni legale împotriva ta dacă raportezi cu bună-credință și respecți regulile de mai jos.

Ce nu trebuie să faci

  • • Nu rula scanere automate pe infrastructura noastră fără acordul nostru explicit.
  • • Nu exploata vulnerabilitatea dincolo de ce e necesar pentru a o demonstra.
  • • Nu accesa, modifica sau șterge date care nu îți apartin.
  • • Nu face publică problema înainte să fie rezolvată.

Ce nu intră în scop

Clickjacking, CSRF fără impact demonstrabil, atacuri care necesită acces fizic la dispozitivul utilizatorului, denial-of-service, rate limiting, lipsa unor headere precum DNSSEC/CAA fără impact practic, sau scanări automate neautorizate.

Întrebări frecvente despre securitate și conformitate

Tot ce vrei să știi despre cum protejăm datele clienților.

Ce certificări și acreditări aveți?

Operăm sub un cadru de conformitate care include GDPR (înregistrare ICO), ISO 27001, ISAE 3000 Type 2 și Cyber Essentials Plus. Detalii complete despre subprocesatori, certificări și măsuri tehnice sunt disponibile pe Trust Center.

Cum pot obține documentele de conformitate?

Acordul de procesare a datelor, rapoartele de audit și certificările noastre sunt disponibile pe Trust Center, la cerere.

Cum raportez o vulnerabilitate de securitate?

Trimite detalii (sistemul afectat, pașii de reproducere, impactul) la security@zebrabyte.ro. Confirmăm primirea, investigăm și te ținem la curent pe tot parcursul rezolvării.

Ce nu intră în scopul programului de raportare?

Nu acceptăm rapoarte pentru: clickjacking, CSRF fără impact demonstrabil, atacuri care necesită acces fizic la dispozitivul utilizatorului, teste de tip denial-of-service, rate limiting, sau scanări automate fără acordul nostru explicit.