Jak pečujeme o data nezbytně nutná pro zajišťování prediktivních a proaktivních IT Služeb

Uvědomujeme si, že důvěrnost, integrita a dostupnost informací našich uživatelů a zákazníků je zásadní pro jejich obchodní operace i náš vlastní úspěch. K ochraně těchto klíčových informací používáme vícevrstvý přístup a neustále monitorujeme a vylepšujeme naše aplikace, systémy a procesy, abychom splnili rostoucí požadavky a výzvy v oblasti bezpečnosti.

Zabezpečená datová centra

Naše služba je nasazena ve špičkových datových centrech Microsoft Azure. Tato zařízení poskytují podporu na úrovni operátora, včetně:

kontrola přístupu a fyzické zabezpečení

  • 24hodinovou ostrahu s lidskou posádkou, včetně pěších hlídek a kontrol obvodu.
  • Biometrické skenování pro přístup
  • Vyhrazené místnosti datového centra s betonovými stěnami
  • Výpočetní zařízení v ocelových klecích s kontrolovaným přístupem
  • Videodohled v celém objektu a po obvodu
  • Budova navržená s ohledem na místní seismická, bouřková a povodňová rizika
  • Sledování stěhování majetku

Kontrola prostředí

  • Řízení vlhkosti a teploty
  • Redundantní (N+1) chladicí systém

Napájení

  • Podzemní přívod elektrické energie
  • Redundantní (N+1) systémy CPS/UPS
  • Redundantní rozvodné jednotky (PDU)
  • Redundantní (N+1) dieselové generátory se skladem nafty na místě

Síť

  • Betonové sklepy pro vstup optických vláken
  • Redundantní vnitřní sítě
  • Neutrální síť; připojení ke všem hlavním operátorům a umístění v blízkosti hlavních internetových uzlů
  • Vysoká kapacita šířky pásma

Detekce a potlačení požáru

  • VESDA (přístroj pro včasnou detekci kouře)
  • Dvouzónové, dvouzónové, vícezónové, suchovodní hašení požáru s předzásahovou funkcí

Zabezpečený přenos a relace

Připojení k prostředí Atera probíhá prostřednictvím kryptografických protokolů SSL/TLS s využitím globálních stupňovitých certifikátů, které zajišťují, že naši uživatelé mají zabezpečené spojení ze svých prohlížečů k naší službě. Jednotlivé relace uživatelů jsou identifikovány a znovu ověřovány při každé transakci pomocí jedinečného tokenu vytvořeného při přihlášení.

Omezení přihlašovacích IP adres v aplikaci

Rozsahy přihlašovacích IP omezují neoprávněný přístup tím, že vyžadují, aby se uživatelé přihlašovali do aplikace IT Služby z určených IP adres - obvykle z vlastní podnikové sítě, určených sítí zákazníků nebo VPN. Pomocí Rozsahů přihlašovacích IP adres mohou správci definovat rozsah povolených IP adres pro řízení přístupu do aplikace IT Služby. Uživatelům, kteří se pokusí přihlásit do aplikace IT Služby z jiných než určených IP adres, nebude přístup povolen.

Dvoufaktorové ověřování

Dvoufaktorové ověřování vyžaduje, aby všechny pokusy o přihlášení obsahovaly jak přihlašovací údaje, tak druhý faktor ověření. Pokusům o přihlášení, které nemají platné pověření z obou zdrojů, nebude přístup do aplikace IT Služby udělen.

Ochrana sítě

Firewally a směrovače blokují nepoužívané protokoly v prostředí Azure.
Vnitřní firewally oddělují provoz mezi aplikační a databázovou úrovní.
Senzory detekce narušení v celé vnitřní síti hlásí události do systému správy bezpečnostních událostí, kde se zaznamenávají, upozorňují a hlásí.

Zotavení po havárii

Aplikace IT Služby provádí replikaci v reálném čase na disk v každém datovém centru a replikaci dat téměř v reálném čase mezi produkčním datovým centrem a centrem pro obnovu po havárii.
Data jsou přenášena přes šifrované spoje.
Testy obnovy po havárii ověřují naše předpokládané časy obnovy a integritu dat zákazníka/místa.

Zabezpečení agentů

Po nasazení IT Služby agenta je mu přiřazen jedinečný klíč. Tento klíč se používá pro účely ověřování. Veškerá komunikace mezi agenty a cloudem je ověřována pomocí tohoto jedinečného klíče a probíhá prostřednictvím zabezpečené vrstvy soketů/transportní vrstvy (SSL/TLS).

Zabezpečení databáze

Konfigurace hardwaru a softwaru jsou navrženy tak, aby poskytovaly bezpečné logické oddělení dat zákazníků/míst, které umožňuje každému zákazníkovi/místu zobrazit pouze související informace.
Kontrolní mechanismy zabezpečení pro více klientů zahrnují jedinečné, nepředvídatelné tokeny relací, konfigurovatelné hodnoty časového limitu relací, zásady hesel, pravidla sdílení a uživatelské profily.

Všechna data zákazníků/míst v databázi jsou šifrována 256bitovým šifrovacím protokolem.

Tunelování vzdáleného ovládání

Při používání nástroje Vzdálená Pomoc je mezi pracovníkem IT Služeb a cílovým počítačem vytvořen virtuální tunel. Všechna data přenášená mezi uživatelem a agentem jsou šifrována. Pracovník i IT Služby agent se připojují pouze prostřednictvím portu UDP 443.

Copyright © 2022 IT Služby.
Pro skvělé klienty vyrobil Petr Sůkal. Člen asociace auditu a kontroly informačních systémů.