უსაფრთხოება საფუძვლიდანვე

Civi.ge-ში უსაფრთხოება არ არის გვიანდელი ფიქრი — ეს არის საფუძველი, რომელზეც ყოველი ფუნქცია შენდება. ჩვენ ვიცავთ უმაღლეს სტანდარტებს, რათა თქვენმა ორგანიზაციამ სრული ნდობით შეძლოს დასაქმება, მართვა და ხელფასის გაცემა.

ჩვენი უსაფრთხოების პროგრამა მუდმივად განიხილება და შეესაბამება ISO 27001 პრინციპებს, SOC 2 Type II კონტროლებსა და OWASP Top 10-ს. ყოველი კოდის ცვლილება გადის ავტომატური უსაფრთხოების სკანირებას წარმოებაში მოხვედრამდე.

თქვენსა და ჩვენს სერვერებს შორის გადაცემული ყველა მონაცემი დაცულია TLS 1.3-ით — Transport Layer Security პროტოკოლის უახლეს და ყველაზე უსაფრთხო ვერსიით. ძველი, სუსტი პროტოკოლები ავტომატურად უარყოფილია.

შენახვის დროს, სენსიტიური მონაცემების ველები — პირადი იდენტიფიკატორები, ხელფასის მაჩვენებლები, კონტრაქტის დოკუმენტები — დაშიფრულია AES-256-ით. დაშიფვრის გასაღებები მართულია გამოყოფილი სერვისით და რეგულარულად ბრუნავს.

ჩვენ ვამტკიცებთ მრავალფაქტორულ ავთენტიფიკაციას (MFA) ყველა ადმინისტრატორის ანგარიშისთვის და მკაცრად ვარეკომენდებთ ყველა მომხმარებელს. პაროლები хешირებულია bcrypt-ით, ნედლი პაროლები არასოდეს ინახება.

Civi.ge-ში წვდომა მართულია დეტალური Role-Based Access Control (RBAC) მოდელით. ადმინები, დამსაქმებლები, კანდიდატები და HR პერსონალი ხედავს მხოლოდ მათთვის შესაბამის მონაცემებს.

სესიის ტოკენები მოკლეარსებოვანია, კრიპტოგრაფიულად ხელმოწერილია HS256/RS256 JWT-ით და დაუყოვნებლივ ბათილდება გასვლისას ან ანომალიის გამოვლენისას.

Civi.ge მუშაობს კორპორატიული კლასის ღრუბლოვან ინფრასტრუქტურაზე, გადანაწილებული მრავალ availability zone-ზე. წარმოების გარემო იზოლირებულია განვითარებისა და staging გარემოსგან.

ყველა სერვერი ავტომატურად პაჩდება. ჩვენ ვიყენებთ Web Application Firewalls (WAF) და DDoS-ის შემცირებას ქსელის edge-ზე. გამავალი ტრაფიკი ფილტრირდება და მონიტორინგდება.

მონაცემთა ბაზის წვდომა შეზღუდულია მხოლოდ შიდა აპლიკაციის სერვისებით. კავშირის სტრიქონები და API გასაღებები შეიყვანება runtime-ზე დაშიფრული სეიფების გზით.

ჩვენი უსაფრთხოების ოპერაციების გუნდი მონიტორინგს ახდენს 24 × 7 × 365 რეალურ დროში შეტყობინებებით, ანომალიების გამოვლენითა და ჟურნალის აგრეგაციით.

უსაფრთხოების ინციდენტის შემთხვევაში, ჩვენი Incident Response Plan მყისიერად ამოქმედდება. დაზარალებული კლიენტები ეცნობებიან 72 საათის განმავლობაში GDPR მოთხოვნების შესაბამისად.

Civi.ge შეესაბამება მონაცემთა დაცვის ზოგად რეგლამენტს (GDPR). ჩვენ ვმოქმედებთ, როგორც მონაცემთა დამამუშავებელი თქვენი ორგანიზაციის (მონაცემთა კონტროლერის) სახელით.

თქვენ ინარჩუნებთ სრულ საკუთრებას თქვენს მონაცემებზე. ჩვენ არასოდეს გავყიდით, გავცვლით ან გავქირავებთ კომპანიის ან თანამშრომლის მონაცემებს მესამე მხარეებს.

კორპორატიული პაკეტის კლიენტებს შეუძლიათ მოითხოვონ მონაცემთა ადგილსამყოფელი სასურველ გეოგრაფიაში. ნაგულისხმევად ყველა მონაცემი ინახება EEA-ში.

ყველა მესამე მხარის სერვისი, რომელსაც ვაინტეგრირებთ, გადის სტრუქტურირებულ უსაფრთხოების განხილვას onboarding-ამდე და ყოველწლიურად. ჩვენ ვზღუდავთ მესამე მხარის წვდომას მინიმალური მონაცემებით.

ქვე-პროცესორების სრული სია ხელმისაწვდომია კორპორატიული კლიენტებისთვის მოთხოვნით. ნებისმიერი ცვლილება ეცნობება კლიენტებს 30 დღით ადრე.

Civi.ge-ს გააჩნია ყოვლისმომცველი შესაბამისობის პროგრამა. ჩვენი კონტროლები მოდელირებულია შემდეგი სტანდარტების საფუძველზე:

• GDPR — მონაცემთა დაცვის ზოგადი რეგლამენტი (EU 2016/679)
• ISO 27001 — ინფორმაციული უსაფრთხოების მართვა (შეთანხმებული, აუდიტი მიმდინარეობს)
• SOC 2 Type II — Trust Services Criteria (მიმდინარეობს)
• OWASP Top 10 — ყველა ცნობილი ვებ-აპლიკაციის დაუცველობა ტესტირდება და მიტიგირდება
• PCI-DSS — გადახდის ბარათის ინდუსტრიის სტანდარტები ყველა გადახდის პროცესისთვის

შესაბამისობის დოკუმენტაცია და აუდიტის ანგარიშები ხელმისაწვდომია კორპორატიული კლიენტებისთვის NDA-ს ფარგლებში. მოთხოვნისთვის დაგვიკავშირდით support@civi.ge-ზე.

ავტომატური მონაცემთა ბაზის snapshot-ები იღება ყოველ საათში და ინახება 30 დღე. სრული სარეზერვო ასლები ყოველდღე იღება და ინახება 1 წელი. ყველა სარეზერვო ასლი დაშიფრულია.

Recovery Time Objective (RTO) 4 საათზე ნაკლებია, Recovery Point Objective (RPO) 1 საათზე ნაკლები. ბიზნეს-უწყვეტობის ტესტები ტარდება წელიწადში ორჯერ.

სისტემის სტატუსი და uptime-ის ისტორიული მონაცემები საჯაროდ ხელმისაწვდომია. დაგეგმილი ტექნიკური პაუზები ცხადდება მინიმუმ 48 საათით ადრე.

ყოველ კოდის commit-ზე ვატარებთ ავტომატურ სტატიკურ ანალიზს, დამოკიდებულების სკანირებას (SAST/SCA) და container image-ის სკანირებას. კრიტიკული და მაღალი სიმძიმის პრობლემები აღმოიფხვრება 48 საათში.

გარე შეღწევის ტესტები ტარდება დამოუკიდებელი მესამე მხარის ფირმების მიერ წელიწადში მინიმუმ ერთხელ.

ჩვენ ვმართავთ პასუხისმგებლიანი გამჟღავნების პროგრამას. თუ Civi.ge-ში პოტენციური მოწყვლადობა გამოგივლინდათ, გთხოვთ შეატყობინოთ support@civi.ge-ზე. ვცდილობთ დასტური გავცეთ 24 საათის განმავლობაში.

უსაფრთხოება ჩართულია ჩვენი პროგრამული უზრუნველყოფის განვითარების სასიცოცხლო ციკლში (SDLC). ინჟინრები ყოველწლიურად გადიან უსაფრთხოების ტრენინგს OWASP Top 10-ზე. კოდის ყველა ცვლილება მოითხოვს peer review-ს.

ჩვენი staging გარემო წარმოებას ზუსტად ასახავს, რაც საშუალებას გვაძლევს უსაფრთხოებასთან დაკავშირებული ცვლილებები გადავამოწმოთ რეალურ მონაცემებამდე მიღწევამდე.

უსაფრთხოება საერთო პასუხისმგებლობაა. Civi.ge იცავს პლატფორმის ინფრასტრუქტურას — თქვენ აკონტროლებთ მის გამოყენებას. ანგარიშის უსაფრთხოებისთვის გირჩევთ:

• ჩართეთ MFA ყველა ადმინისა და HR მომხმარებლისთვის
• გამოიყენეთ ძლიერი, უნიკალური პაროლი და პაროლების მენეჯერი
• რეგულარულად განიხილეთ აქტიური სესიები და გააუქმეთ უცნობი
• მიმართეთ მინიმალური პრივილეგიის პრინციპს როლების მინიჭებისას
• დაუყოვნებლივ გაუქმეთ წვდომა გარიცხულ თანამშრომლებს
• დაუყოვნებლივ მოახსენეთ საეჭვო აქტივობა ჩვენს მხარდაჭერის გუნდს