Корпоративна безпека за ціною малого бізнесу

Прозорі практики безпеки від інфраструктури до додатку. Відповідність GDPR/CCPA, ізоляція багатоорендарів, шифрування в стані спокою та під час передачі.

Переглянути наші практики безпеки

Перевірена безпека та відповідність

Наша основа безпеки

✓

Heroku

Розміщено на платформі Heroku (компанія Salesforce)

✓

AWS

Інфраструктура на базі AWS

✓

GDPR

Відповідність Політиці конфіденційності (реалізовані права користувачів)

✓

CCPA

Відповідність правам конфіденційності Каліфорнії

✓

Iubenda

Сертифікована генерація політики конфіденційності

Про що ми не заявляємо (Чесність у безпеці)

Сертифікат SOC 2

Ще ні - у дорожній карті залежно від попиту корпоративних клієнтів. Ми успадковуємо сертифіковану SOC 2 інфраструктуру (Heroku/AWS), але не маємо власного організаційного аудиту.

Організаційна сертифікація ISO 27001

Ми успадковуємо сертифікацію центру обробки даних від Heroku/AWS, але не маємо власної організаційної сертифікації ISO 27001.

Тестування на проникнення

Ще ні - професійне тестування на проникнення третьою стороною заплановано на 2026 рік.

Чому ця прозорість?

Багато конкурентів заявляють про "корпоративну безпеку" без деталей. Ми вважаємо, що прозорість створює довіру краще, ніж розпливчасті заяви. Ми чесні щодо того, що маємо сьогодні і що буде далі.

Побудовано на корпоративній інфраструктурі (Heroku/AWS)

Наша інфраструктура використовує корпоративну безпеку через Heroku (Salesforce) та AWS

Сертифікації інфраструктури

Хостинг: Платформа Heroku (компанія Salesforce)
Центри обробки даних: Сертифіковано ISO 27001 (успадкована сертифікація від інфраструктури Heroku)
Фізична безпека: Стандарти відповідності AWS (SOC 2, ISO 27001 для центрів обробки даних)
Географічна резервність: Розгортання AWS у кількох зонах доступності для високої доступності

Шифрування та захист

Шифрування в стані спокою: PostgreSQL з AES-256
Шифрування під час передачі: TLS 1.3 для всіх з'єднань
Захист від DDoS: Мережеві брандмауери AWS і CloudFront

Важливо: Ми успадковуємо сертифікації інфраструктури від Heroku/AWS. Ми не заявляємо про організаційну сертифікацію ISO 27001 або SOC 2 (вони у нашій дорожній карті залежно від корпоративного попиту).

Дізнатися більше: Безпека Heroku | Відповідність AWS

Практики безпеки додатку

Наш додаток реалізує галузеві стандарти контролю безпеки

1. Ізоляція даних багатоорендарів

Що це означає для Вас: Дані вашої організації повністю відокремлені від інших клієнтів
Як ми це забезпечуємо: Кожен доступ до даних автоматично фільтрується за вашою організацією та робочим простором
Чому це важливо: Відсутній ризик побачити активи або дані про обслуговування іншої компанії
Постійна перевірка: Автоматизовані тести безпеки перевіряють ізоляцію при кожній зміні коду

2. Контроль доступу на основі ролей

Гнучкі дозволи: Призначайте членів команди як Адміністраторів (повний доступ) або Членів (обмежені дозволи)
Дворівневий контроль: Керуйте дозволами на рівні організації та окремого робочого простору
Автоматичне застосування: Дозволи перевіряються при кожній дії для запобігання несанкціонованому доступу
Перевірена безпека: Комплексні автоматизовані тести забезпечують правильну роботу правил дозволів

3. Автентифікація

Галузева стандартна автентифікація: Безпечна система входу, що використовується тисячами додатків
Опція Google OAuth2: Увійдіть за допомогою Google для зручності без паролів
Безпечне зберігання паролів: Паролі шифруються з використанням найкращих галузевих практик хешування (ніколи не зберігаються у відкритому вигляді)
Автоматичний вихід: Сесії закінчуються після неактивності для захисту вашого облікового запису

4. Захист від поширених вразливостей

Захист від CSRF: Захищає від несанкціонованих надсилань форм зі шкідливих веб-сайтів
Запобігання SQL-ін'єкціям: Запити до бази даних автоматично санітизуються для запобігання шкідливому коду
Запобігання XSS: Введення користувачів автоматично очищається для запобігання шкідливим скриптам
Політика безпеки вмісту: Правила безпеки браузера запобігають несанкціонованому виконанню скриптів

5. Безпека сесій

Безпечні куки: Дані вашої сесії захищені від доступу JavaScript і передаються безпечно
Автоматичний тайм-аут: Сесії закінчуються після неактивності для захисту вашого облікового запису, якщо ви забули вийти
Зашифрована конфігурація: Чутливі налаштування додатку шифруються і ніколи не розкриваються в коді

6. Автоматизоване сканування безпеки

Сканування безпеки коду: Автоматизований аналіз перевіряє кожну зміну коду на потенційні вразливості перед розгортанням
Моніторинг залежностей: Постійне сканування сторонніх бібліотек на відомі проблеми безпеки
Постійна перевірка: Перевірки безпеки виконуються автоматично при кожному оновленні для раннього виявлення проблем

Відповідність регуляціям конфіденційності

Ми реалізуємо конфіденційність за дизайном

Відповідність GDPR

Європейський загальний регламент захисту даних

Політика конфіденційності: Комплексна політика конфіденційності опублікована та регулярно оновлюється (сертифіковано Iubenda)
Права користувачів: Ви можете отримати доступ, видалити, експортувати та виправити свої дані у будь-який час
Законна обробка: Ми обробляємо дані для надання нашого сервісу (виконання контракту) та за вашою згодою
Захист даних: Практики безпеки корпоративного рівня захищають вашу особисту інформацію

Відповідність CCPA

Каліфорнійський закон про конфіденційність споживачів

Права конфіденційності для жителів Каліфорнії: Доступ, видалення, відмова
Політика конфіденційності охоплює вимоги CCPA
Експорт даних доступний у будь-який час (без прив'язки до постачальника)

Політика куків

Прозоре розкриття куків (Iubenda)
Тільки необхідні куки (автентифікація, управління сесією)
Відсутні куки відстеження третіх сторін

Зберігання даних

Безкоштовний тариф: 30 днів історії активності
Тариф Premium: 5 років історії активності

Експорт і портативність даних

Експорт CSV у будь-який час (Активи, Завдання з обслуговування, Журнали активності)
Без прив'язки до постачальника - заберіть свої дані з собою
API з'явиться у 2026 році для програмного доступу

Заплановані покращення безпеки

Ми плануємо наступні функції безпеки (терміни є оціночними, можуть змінюватися залежно від попиту клієнтів)

Двофакторна автентифікація (2FA)

У дорожній карті (2026)

Підхід до реалізації за галузевими стандартами
Опції SMS та додатку автентифікатора (Google Authenticator, Authy)

Сертифікація SOC 2 Type I

У дорожній карті (залежно від попиту корпоративних клієнтів)

6-9 місяців процесу сертифікації
Професійний аудит третьою стороною
Примітка: Це план, а не зобов'язання. Час залежить від попиту корпоративного ринку та бізнес-пріоритетів.

Тестування на проникнення

Заплановано на 2026

Професійний пентест третьою стороною
Усунення вразливостей та публічне резюме звіту

Розширені журнали аудиту

Заплановано на 2026

Розширення відстеження активності на більше типів даних (наразі лише Активи)
Комплексний аудиторський слід для всіх змін

SSO (SAML)

Заплановано на майбутній реліз

Корпоративний єдиний вхід для великих організацій
Інтеграції з Okta, Azure AD, Google Workspace

Важливі застереження

Елементи дорожньої карти можуть змінюватися залежно від потреб клієнтів та бізнес-пріоритетів
Терміни є оціночними, а не гарантіями
Сертифікація SOC 2 залежить від попиту корпоративного ринку (відгуки вітаються: [email protected])

Повідомлення про вразливості безпеки

Ми вітаємо відповідальні дослідження безпеки

Як повідомити

Контакт з безпеки: [email protected]
Термін відповіді: Підтвердження за 48 годин, цільовий термін вирішення 30 днів (реалістичне зобов'язання)
Сфера: Безпека додатку, проблеми інфраструктури, питання конфіденційності даних
Визнання: Зала слави дослідників безпеки (заплановано на майбутнє)
Прохання: Будь ласка, не розголошуйте публічно вразливості до того, як у нас буде час їх усунути

Про що повідомляти

У сфері:

SQL-ін'єкції, XSS, CSRF вразливості
Обхід автентифікації або підвищення привілеїв
Витік даних багатоорендарів
Небезпечні прямі посилання на об'єкти

Поза сферою:

Атаки соціальної інженерії
Фізична безпека наших офісів (ми працюємо віддалено)
Вразливості третіх сторін (Heroku, AWS - повідомляйте їм безпосередньо)

Чому це важливо: Ми прагнемо до культури усвідомлення безпеки. Ваше відповідальне розкриття допомагає нам захистити всіх клієнтів.

Поширені питання про безпеку

П: Чи маєте ви сертифікацію SOC 2?

В: Ще ні. Сертифікація SOC 2 Type I у нашій дорожній карті, залежить від попиту корпоративних клієнтів. Наразі ми використовуємо сертифіковану SOC 2 інфраструктуру (Heroku, AWS), але не маємо власного організаційного аудиту SOC 2. Якщо SOC 2 критична для вашої організації, напишіть на [email protected], щоб висловити зацікавленість (попит допомагає нам визначати пріоритети).

П: Як мої дані ізольовані від інших користувачів?

В: Дані вашої організації повністю відокремлені від інших клієнтів через безпечну багатоорендарну архітектуру. Кожен доступ до даних автоматично фільтрується, щоб показувати лише інформацію вашої організації - немає способу випадково побачити або отримати доступ до активів, записів про обслуговування або даних команди іншої компанії. Ця ізоляція забезпечується на рівні бази даних і перевіряється комплексними автоматизованими тестами безпеки при кожній зміні коду.

П: Чи можу я експортувати свої дані у будь-який час?

В: Так. Експорт CSV доступний для Активів, Завдань з обслуговування та Журналів активності (без прив'язки до постачальника). Експортуйте з Панелі управління → Експорт або зі списків Активи/Обслуговування. API з'явиться в Q2 2026 для програмного доступу.

П: Де зберігаються мої дані?

В: Центри обробки даних AWS через інфраструктуру Heroku. Географічний регіон: Схід США (Вірджинія) за замовчуванням. Центри обробки даних AWS сертифіковані ISO 27001 та відповідають SOC 2. Резервність у кількох зонах доступності для високої доступності.

П: Чи підтримуєте ви 2FA?

В: Ще ні. Двофакторна автентифікація у нашій дорожній карті на 2026 рік. Наразі ми підтримуємо Google OAuth2 (автентифікація без паролів) як безпечну альтернативу традиційним паролям. Якщо 2FA критична, напишіть на [email protected], щоб висловити зацікавленість.