Практики безопасности
Мы применяем многоуровневую защиту. Наши практики развиваются; список ниже отражает текущее состояние.
- Шифрование при передаче
- TLS 1.3 для всего клиентского трафика. HTTP перенаправляется на HTTPS; включён HSTS.
- Шифрование при хранении
- Тома базы данных и объектное хранилище зашифрованы на уровне диска.
- Ролевое управление доступом
- Действия сотрудников ограничены ролями с минимальными привилегиями; имперсонация логируется отдельно с указанием причины.
- Аудит-логи
- Каждое мутирующее действие сотрудника записывается в лог только для добавления, хранящийся 24 месяца.
- МФА для аккаунтов сотрудников
- Многофакторная аутентификация обязательна для всех ролей сотрудников.
- Управление секретами
- Производственные секреты хранятся в управляемом хранилище; доступ аудируется; существуют регламенты ротации.
- Проверка поставщиков
- Мы ежегодно проверяем субпроцессоров на соответствие безопасности и PDPL. Смотрите /trust/subprocessors.
- Тестирование на проникновение
- Мы заказываем сторонний пентест на ежегодной основе; устранение отслеживается.
- Ответственное раскрытие
- Мы уважаем добросовестные исследования; мы не преследуем исследователей, соблюдающих нашу политику и работающих в рамках области.
Нашли уязвимость? Напишите нам: Контактные данные будут опубликованы позже.