Információk a biztonságról

Az ügyfeleink adatainak védelmét nagyon komolyan vesszük, ezért vállalati szintű biztonsági szabványokat használunk az adatok biztonságban tartására. Folyamatosan ellenőrizzük a rendszerünket és fejlesztjük azért, hogy megfejeljünk az újabb biztonsági szabványoknak.

Nem szeretünk túl sok információt megosztani a biztonsági gyakorlatunkról - pont a biztonság miatt. Viszont értjük, hogy a biztonság nagyon fontos a felhasználóink számára, ezért összefoglaltuk azokat a fő szempontokat, aminek mentén a fejlesztéseinket végezzük. Javasoljuk, hogy az Adatvédelmi nyilatkozatunkat és az Általános szerződési feltételeket is nézze át.

Infrastruktúra

• Minden szolgáltatásunk a felhőben fut. Nem üzemeltetünk saját webszervert, DNS szervert, routert stb...
• Minden, azapplikációhoz köthető rendszer az Amazon Web Services szolgáltatásán keresztül fut, ami egy skálázható felhő alapú platform, amely támogat végpontok közötti titkosítás és sokrétű adatvédelem-erősítő funkciókat. Bővebben itt olvashat az AWS biztonságáról: http://aws.amazon.com/security
• Az infrastruktúránk egyszerre több adatközpontban van elhelyezve, így a szolgáltatás folyamatosságát akkor is tudjuk biztosítani, ha váratlanul az egyik meghibásodik.
• Kétlépcsős azonosítást és erős jelszavakat használunk a BitBucket, AWS, Braintree és minden más, általunk igénybe vett harmadik fél által nyújtott szolgáltatás igénybevételére, így biztosítva ezen felhős szolgáltatások biztonságát.

Alkalmazások

• Minden adat, amely szerver és az alkalmazások között mozog (oda és vissza is) 256-bites titkosítással van állítva, mert az összes API végpontunk csak TLS/SSL-en keresztül érhető el.
• Minden felhasználói adat titkosítva van tárolva, email címek, jelszavak, számlázási adatok, API kulcsok.
• A publikus API hozzáférésünk OAuth authentikációval működik és bármikor vissza lehet vonni a kiosztott API kulcspárokat.
• Szervereink 99.9% vagy a fölötti rendelkezésre állással üzemelnek. Az előfő havi statisztika megtekinthatő a https://status.nold.io oldalon.
• Folyamatosan monitorozzuk és naplózzuk AWS-en kívüli szolgáltatásokkal a rendszerünket és odafigyelünk bármilyen hibára vagy anomáliára, ami veszélyeztetné a szolgáltatásunk megfelelő működését.
• Az éles kódba soha nem írunk bele. Minden módosítás keresztül megy a fejlesztői verzióban, ahol manuális és automatizált hibaellenőrzés után kerül csak publikálásra az éles szerverekre.

Fizetések kezelése

Nem tárolunk semmilyen bankkártya adatot. Az előfizetések kezeléséhez a Braintree szolgáltatását használjuk, amely olyan fizetési megoldásokat nyújt cégek számára, ami megfelel minden PCI követelménynek. Bővebb információkat a Braintree biztonságáról itt talál: https://www.braintreepayments.com/features/data-security

Bluetooth biztonság

A Bluetooth technológia több biztonsági funkciót is nyújt, például az AES-kulcsrendszer segítségével kódolja az eszköz és a telefon közötti kommunikációt, a Biztonságos Kapcsolatok nevű párosítási modell segít megelőzni az adatlopásos támadásokat és megakadályozza, hogy az eszközt egy bizonyos időintervallumon túl követni lehessen – mindezt úgy, hogy a címét rendszeres időközönként cserélgeti. Ezeket egészítettük ki a saját, szoftveres authentikáció megoldásunkat, hogy még biztonságosabbá tegyük a telefon és a Nold Open közötti kapcsolatot. Az eszköz aktiválásakor több, a szerverünk által generált titkosító kulcsot ír az eszközbe a telefonos applikáció(minden eszköznél más és más kulcsokat). Az eszköz vezérlése közben az alkalmazás ezeket a kulcsokat ellenőrzi és segítségével generál ideiglenes kulcsokat a kommunikáció létrehozásához. Az alkalmazás segítségével lehetőség van az eszközök firmware frissítésére is, ami a generált kulcsokat felhasználva szintén titkosítva kerül telepítésre, így ha bármilyen biztonsági rést találunk, azt azonnal tudjuk javítani a már használatban lévő eszközökön is.

Kérdések

Ha van még kérdése a biztonsággal kapcsolatban, vagy talált egy biztonsági rést, kérjük lépjen kapcsolatba velünk a security@nold.io email címen.