Booky Business применяет стандартные протоколы и лучшие практики для обеспечения безопасности ваших данных и конфиденциальности на всех уровнях нашего сервиса.
В сегодняшней сложной и регулируемой среде наши пользователи полагаются на нас в защите своих данных, и мы используем стандартные инструменты и методы отрасли для обеспечения безопасности. В этой статье мы предоставим обзор многоуровневой «глубокой защиты», которую Booky Business реализует для соответствия высоким стандартам безопасности данных.
На уровне постоянства мы применяем шифрование для хранилища основной базы данных приложения, связанных с ней резервных копий и файлов журнала транзакций в покое. Это «прозрачное шифрование данных» использует симметричный ключ шифрования AES-256, соответствующий стандарту FIPS 140-2. Этот ключ защищен сертификатом, который регулярно обновляется не реже одного раза в 90 дней. Этот подход соответствует требованиям многих отраслевых стандартов, таких как HIPAA и PCI, и является ключевым элементом для выполнения обязательств GDPR в ЕС.
Дополнительно мы ограничиваем доступ к основной базе данных приложения, разрешая его только от уровня приложения и определенного набора известных IP-адресов, принадлежащих Booky Business. Это ограничение доступа достигается с помощью правил брандмауэра, аутентификации с многофакторной проверкой личности и авторизации на основе ролей.
Мы также предусматриваем возможность аварийного восстановления данных приложения, создавая автоматические резервные копии базы данных с использованием геоизбыточного подхода. Полные, дифференциальные резервные копии и резервные копии журнала транзакций защищаются шифрованием и создаются регулярно. В случае потери данных мы можем восстановить базу данных на определенный момент времени, минимизируя потерю информации. Резервные копии хранятся в течение 35 дней, после чего они уничтожаются.
Для обеспечения соответствия нормативным требованиям, осознания работы базы данных и выявления несоответствий и аномалий, которые могут указывать на потенциальные нарушения безопасности (еще один аспект GDPR ЕС), Booky Business внедрил три расширенные функции безопасности на своих основных серверах баз данных:
- Расширенный аудит баз данных: Эта функция помогает поддерживать соответствие нормативам, а также предоставляет понимание активности базы данных и информацию о несоответствиях и аномалиях. Журналы аудита баз данных хранятся в течение 90 дней, после чего уничтожаются.
- Расширенный мониторинг защиты от угроз: Этот мониторинг обнаруживает аномальные действия, указывающие на необычные и потенциально опасные попытки доступа к базе данных или использования ее в злонамеренных целях. Он предупреждает операционную группу Booky Business о потенциальных угрозах, таких как атаки с использованием SQL-инъекций, а также аномальные шаблоны доступа к базе данных.
- Автоматизированное периодическое сканирование с оценкой уязвимостей: Это сканирование активно обнаруживает и отслеживает потенциальные уязвимости базы данных, предупреждая операционную группу Booky Business для их оперативного устранения. Сканирование проводится еженедельно.
Между уровнем постоянства и уровнем приложений данные защищаются «в полете», обеспечивая шифрование с использованием криптографического протокола Transport Layer Security (TLS), предполагая использование как минимум TLS 1.2. Это гарантирует, что соединения к базе данных осуществляются через безопасный канал.
На уровне приложений все входящие запросы требуют безопасных соединений HTTPS, используя TLS 1.2 или более высокую версию, а также поддерживают HTTP/2 для повышения производительности.
Принятые TLS-соединения шифруются SSL-сертификатом, соответствующим одному из самых надежных веб-стандартов. Запись авторизации центра сертификации DNS (CAA) гарантирует, что только доверенные центры сертификации могут выдавать сертификаты для https:/booky.business.co, предотвращая неправомерное использование сертификатов.
Booky Business принимает безопасность данных на серьезном уровне и внедряет ряд расширенных заголовков безопасности в ответах от серверов приложений. Вот некоторые из них:
- X-XSS-Protection: Этот заголовок предписывает современным браузерам прекращать взаимодействие при обнаружении атак с использованием отраженных межсайтовых сценариев (XSS).
- Content-Security-Policy (CSP): Этот заголовок предписывает браузерам принимать строгие меры для предотвращения межсайтового скриптинга (XSS), кликджекинга и других атак. Внедрена «строгая политика CSP3» с использованием параметров «nonce» и «строго-динамический».
- Strict Transport Security (HSTS): Этот заголовок указывает браузерам всегда использовать только HTTPS при взаимодействии с Booky Business, исключая использование HTTP. Развернут с долгим сроком действия (один год) и в списке предварительной загрузки HSTS.
- X-Content-Type-Options: Этот заголовок предписывает браузерам строго следовать типам MIME, указанным в ответах сервера, для защиты от атак с перехватом контента MIME.
- Expect-CT: Сообщает веб-клиенту/браузеру о необходимости обеспечения соблюдения требований прозрачности сертификатов, предотвращая использование неправильно выданных сертификатов.
- Referrer-Policy: Позволяет контролировать значение заголовка «referer» для ссылок за пределами страниц Booky Business, предотвращая установку заголовка «referer» при переходе с HTTPS на HTTP.
- X-Frame-Options: Этот заголовок, если не разрешено администратором площадки, предотвращает браузерам отображение страниц Booky Business на других сайтах через фреймы и объекты, предотвращая атаки типа «кликджекинг».
Booky Business получает оценку «А» от независимого сервиса проверки заголовков безопасности Securityheaders.io. Рекомендуется провести тестирование на других веб-сайтах, которые могут использоваться, с использованием автоматизированных тестов для выявления отклонений от состояния «А».
Весь домен booky.co, включая поддомены, внесен в список предварительной загрузки HSTS, обеспечивая жесткое кодирование на всех современных браузерах. DNSSEC также активирован для обеспечения неподдельности записей DNS.
Booky Business демонстрирует высокий уровень безопасности данных, как подтверждается рейтингом «A+» в независимом тесте безопасности сервера от Qualys SSL Labs. Рейтинг указывает на отсутствие уязвимостей для новейших атак на протоколы, такие как BEAST, POODLE, Heartbleed, Heartbeat, Robot и другие.
На клиентском уровне Booky Business применяет стандартные отраслевые методы для предотвращения фишинговых и хакерских атак. Используется шаблон токена Synchronizer для борьбы с подделкой межсайтовых запросов, и все данные, вводимые пользователями, проверяются на наличие HTML/сценариев и внедрений.
Аутентификация в Booky Business поддерживается различными способами. Поддерживается единый вход через SAML 2.0, а также использование учетных записей популярных сервисов через OAuth 2.0 (Facebook, Google, Twitter, Microsoft). Этот подход обеспечивает удобство, безопасность и поддержку многофакторной аутентификации.
Для пользователей, предпочитающих использовать вход на основе пароля, Booky Business применяет стандартные методы защиты:
- Используется надежный формат/алгоритм хеширования паролей (PBKDF2 с HMAC-SHA256, 128-битная соль, 256-битный подраздел, 10 000 итераций), делая восстановление исходного пароля практически невозможным.
- Применяется блокировка учетной записи при многократном вводе неверного пароля, чтобы предотвратить атаки по словарю.
- Надежная политика паролей требует, чтобы пароли содержали символы нижнего и верхнего регистра, цифры и имели длину не менее восьми символов.
- Механизм входа маскирует пароль при вводе пользователем.
Файлы cookie HTTP, используемые для аутентификации и проверки запросов, обеспечиваются атрибутами «HttpOnly«, «Secure» и «SameSite«, предотвращая подделку.
Booky Business предотвращает подделку файлов cookie аутентификации и проверки запросов, используя усовершенствованный механизм защиты данных, включая шифрование AES-256-CBC и HMACSHA256 для конфиденциальности и аутентификации.
В целом, Booky Business обеспечивает высокий уровень безопасности данных, используя современные методы и стандарты, чтобы защитить информацию пользователей.
В области онлайн-платежей Booky business соблюдает стандарт PCI, обеспечивая безопасность транзакций. Платежи обрабатываются напрямую через выбранный вами платежный шлюз, что исключает контакт конфиденциальных платежных реквизитов с системами Booky business. Дополнительные сведения о поставщике платежных шлюзов Cloud Payments и их стандартах безопасности доступны на странице: https://cloudpayments.ru/infrastructure/safety.
Транзакционные электронные письма, отправляемые Booky business, обеспечивают безопасность с использованием SPF, DKIM и DMARC для проверки электронной почты. Данные функции помогают предотвратить спам, спуфинг и фишинговые атаки. Все отправляемые электронные письма содержат ссылки для отказа от подписки, а также внедрено ограничение скорости для предотвращения атак «почтовой бомбардировки».
На организационном уровне доступ сотрудников Booky business к данным клиентов ограничивается принципами «необходимо знать» и «наименьших привилегий»:
- Системы разработки и тестирования существуют во внутренней сети без внешнего доступа, не содержат реальных данных клиентов и используют только фиктивные данные.
- Исходный код приложения хранится в частном репозитории, не содержащем конфиденциальной информации, которая хранится в хранилище ключей в среде хостинга.
- Общий доступ к производственной среде хостинга предоставляется только высококвалифицированным членам операционной команды после строгой аутентификации, включая многофакторную аутентификацию и проверки брандмауэра на основе IP.
- Сотрудники Booky business по умолчанию не имеют доступа к учетным записям клиентов через веб-интерфейс, и запросы доступа строго контролируются, требуют многофакторной аутентификации и ограничиваются временем действия.
Наше соответствие различным нормативным стандартам автоматически контролируется через центр безопасности на панели управления нашего хостинг-провайдера. Мы систематически оцениваем многочисленные средства контроля в реальном времени, автоматизируя процесс для различных стандартов. В случае обнаружения отклонений, наша оперативная группа получает моментальные предупреждения. Мы поддерживаем высокие стандарты безопасности и выполняем следующие нормативные стандарты. Дополнительные отчеты доступны для наших клиентов по запросу через службу поддержки:
- ИСО 27001 (2013 г.)
- СОЦ ТСП
- PCI DSS 3.2.1
В случае возникновения инцидентов, таких как сбои в работе приложений или снижение производительности, мы предоставляем обновления на сайте https://status.booky.co/. Общие новости и обновления приложения доступны на https://support.booky.co/changelog/.
Регулярно мы привлекаем независимых тестеров на проникновение, чтобы оценить безопасность Booky business. Они оперативно реагируют на вопросы, проблемы и отчеты о безопасности. Наша команда безопасности, состоящая из опытных инженеров, доступна для контакта по адресу support@booky.co.
Мы стремимся обеспечивать безопасность и постоянно пересматриваем процедуры, чтобы реагировать на изменения в сфере безопасности. Эта информация может изменяться в будущем. Если у вас есть вопросы, не стесняйтесь обращаться в нашу службу поддержки.