Vadovaujamės geriausiomis praktikomis ir teikiant paslaugas, ir bendradarbiaujant su teisėsaugos institucijomis, ir užtikrinant kompanijų teises. Remiamės daugeliu principų, išdėstytų ISO-27001 standarte, ES NIS-2 saugumo direktyvoje ir kituose reguliavimuose bei gerose praktikose, net jei tai ir nėra privalomi reikalavimai. Per daugelį metų konsultacinio darbo puikiai išmokome, kad gerosios praktikos visada yra vertos naudojimo, nes jos išsprendžia daugybę problemų.
Kadangi esame labai nedidelė kompanija (mūsų darbas paremtas bendradarbiavimu), taisyklės yra paprastos, tad jas čia ir pateikiame kaip bendrą saugumo politiką.
Įprastos mūsų praktikos, kurias ir pateikiame kaip saugumo politiką:
- Vertiname rizikas (laikome tam tikras rizikas neišvengiamomis, todėl reikalingomis adresavimo) ir turime saugumo politiką, skirtą savo pačių reikmėms (ją čia ir pateikiame)
- Turime politiką, nustatančią saugumą ir kasdienes procedūras dėl programavimo ir duomenų palaikymo kokybės:
- Bet kurie programinės įrangos gaunami duomenys turi būti tikrinami dėl įterptinio kodo, skirto įsilaužimui
- Bet kurie kintamų įrašų pokyčiai (SQL UPDATE operacijos), daromos programinėje įrangoje, turi būti loginami, išsaugant pakankamai duomenų, kad būtų galima atstatyti juos į ankstesnę būseną
- Paslaugų tiekėjas, kuris teikia paslaugas mums, turi turėti savo saugos užtikrinimą, naudojant atsargines kopijas ir virtualizaciją
- Saugumo reikalavimus ir situaciją tikrinamės, naudodamiesi ekspertų konsultacijomis ir jų daromais bandymais
- Duomenys, teikiant paslaugas, šifruojami SSL protokolu. Vartotojų slaptažodžiai šifruojami vienakrypčiu algoritmu (hashing) ir duomenų bazėje saugomi tik juos patikrinti leidžiantys hešai, bet ne slaptažodžiai.
- Standartinis saugumo valdymo planas: registruojamas incidentas, planuojamas jo sprendimo laikas, esant duomenų nutekėjimui, turi būti informuojamas klientas. Jei pažeidimo pobūdis reikalauja, paslaugų teikimas stabdomas iki incidento sprendimo pabaigos. Incidentas sprendžiamas, dalyvaujant mažiausiai dviems asmenims: sprendėjui (programuotojui) ir supervizuojančiam asmeniui, kuris tikrina sprendimo saugumą. Apie sprendimo rezultatus informuojamos suinteresuotos šalys.
- Esminiai reikalavimai tiekėjui: turi turėti saugumo užtikrinimo procedūras ir incidentų valdymo procesą, naudoti užklausų/incidentų registravimo sistemą, turi būti pasiekiamas telefonu, tiekėjo lokacija turi būti Lietuvoje. Tiekėjui keliami reputaciniai reikalavimai, o didesnė paslaugų teikimo kaina laikoma privalumu, nes tai leidžia užtikrinti aukštesnės kokybės paslaugų teikimo procesą.
- Visi Pradesk kūrime dalyvaujantys asmenys turi patirtį, valdant saugumo incidentus, bendradarbiaujant šioje srityje su teisėsauga – geriau daugiau saugumo, nei jo ignoravimas
- Mes atskiriame hostinimo (produkcines) sistemas nuo kūrimo ir testavimo sistemų, o asmenys, kurie vykdo kūrimą ir testavimą, neturi jokio priėjimo prie klientų sistemų, kurios yra produkcinės, ir negali jose keisti jokių duomenų. Asmenys, kurie vykdo programavimą, neturi priėjimo prie produkcinių SQL serverių ir hostinimo platformos. Mes įsipareigojame, kad klientų duomenys liks konfidencialūs ir asmenys, kurie gali turėti prie tų duomenų priėjimą, tų duomenų nenutekins.
- Mes remiamės paslaugų teikėjo virtualizuojančia platforma, kuri užtikrina, kad duomenys, esantys produkcinėse sistemose, nebus pažeisti, o jei ir būtų pažeisti ar sunaikinti – juos būtų galima atstatyti.
- Jei yra kliento išsakomas poreikis, galime įvesti sudėtingesnius autentifikavimo įrankius, pvz., autentifikaciją per du nuoseklius patikrinimo mechanizmus. Kad mechanizmai liktų saugūs, duomenys persiuntimo metu šifruojami (HTTPS/SSL).
- Produktas kuriamas taip, kad galėtų veikti kaip nepriklausoma, lengvai perkeliama, multiplatforminė sistema. Tai reiškia, kad esant poreikiui, jis gali būti perkeltas į kliento aplinką ar į kito tiekėjo aplinką be problemų ir per labai trumpą laiką. Produkte nenaudojamas kodas, kuris specifinis tik tam tikriems klientams, todėl išvengiama problemų dėl specifinių klientų specifikos. Vienas iš įrankių bendam sistemos perkeliamumui užtikrinti – nuolatiniai produkcinių sistemų atnaujinimo testai, kuriuose perkėlimas vykdomas iš skirtingų tipų operacinių sistemų ir skirtingų gamintojų SQL serverių.