Įmonės lygio saugumas, kuriuo galite pasitikėti

• Organizacija įdiegia atakų stebėjimo įrankius, tokius kaip tinklo įsilaužimo aptikimo ir prevencijos sistemas bei 7 lygio žiniatinklio programų ugniasienes.
• Be to, naudojamos 7 lygio žiniatinklio programų ugniasienės.

• Antivirusinė ir kenkėjiškų programų prevencijos programinė įranga įdiegta visuose galiniuose įrenginiuose (darbalaukiuose, nešiojamuosiuose kompiuteriuose, išmaniuosiuose telefonuose ir planšetiniuose kompiuteriuose).
• Programų parašas, smėlio dėžės izoliacija ir failų karantinas taikomi visiems išmaniesiems telefonams ir planšetėms.
• Naudojamos EDR/XDR technologijos kaip kenkėjiškų programų prevencijos agentai visuose darbalaukiuose ir nešiojamuosiuose kompiuteriuose.
• EDR/XDR yra valdomos ir stebimos saugumo operacijų centre (SOC), veikiantį 24/7.
• Antivirusinė programinė įranga yra valdoma centralizuotai ir stebima tik įgaliotų darbuotojų.

• Organizacija įgyvendina kontrolę, kuri riboja prieigą prie duomenų tarp patikimų serverių ir programų, naudojant šifruotus kanalus su stipria autentifikacija.
• Taip pat yra įgyvendinamos kontrolės, kurios riboja prieigą prie kritinių duomenų ir programų iš trečiųjų šalių naudojant tik patikimus įrenginius arba galinius taškus, šifravimą ir stiprią autentifikaciją.
• Daugiamatė autentifikacija (MFA) įdiegiama darbuotojams, kad galėtų pasiekti duomenis kritinėse programose.
• Prieiga prie duomenų yra ribojama, todėl konsultantai, kurie turi prieigą prie mūsų programų, turi naudoti patikimus galinius taškus.

• HTTPS ryšiai, kurie naudojami įeinantiems duomenims, yra apsaugoti su TLS 1.2 ar aukštesnio šifravimo.
• Panašūs apsaugos mechanizmai taikomi kitoms šifruotoms jungtims, pavyzdžiui, IPsec, SSH ar SFTP.
• Asimetrinis šifravimas naudojamas failų ar žinučių šifravimui naudojant RSA su raktų ilgiais ne mažiau nei 2048 bitai arba ECC su įprastais kreivės parametrais, pvz., P256.
• Simetrinis šifravimas naudojamas failų ir žinučių šifravimui su AES ir bent 256 bitų ilgio raktais.
• Visos galinės įrenginių (darbalaukiai, nešiojami kompiuteriai, išmanieji telefonai ir planšetės) yra apsaugotos su viso disko šifravimu.
• Išoriniai atsarginiai duomenų bazės failai yra apsaugoti su stipriu šifravimu.
• El. paštas yra šifruojamas per jo persiunčiamąjį tinklą, naudojant TLS šifravimą, tiek įeinantį, tiek išeinantį.
• Tam tikri el. pašto domenai yra apsaugoti privalomu TLS šifravimu.
• Prekybininko API reikalauja naudoti kriptografinį parašą tiek įeinantiems užklausoms, tiek išeinantiems atsakymams, taip pat TLS šifravimą per jų siuntimo kanalus. Tai padeda patvirtinti priklausomybę ir sumažinti MITM atakų riziką.
• Naudojant atsiskaitymo paslaugą taikomas taškų iki taško šifravimas kiekvienai sesijai, kad būtų apsaugota galutinio vartotojo jautri informacija, pvz., slaptažodžiai ir iššūkio kodai.

• Naudojamos 3 lygio ugniasienės vietinėms tinklo stebėjimui, kad būtų palaikomas prieigos kontrolės sąrašų (ACL) įgyvendinimas.
• Naudojamos 3 lygio ugniasienės, kad būtų kontroliuojamas tinklo srautas tarp interneto ir organizacijos.
• Naudojamos 7 lygio ugniasienės, kad būtų stebimas ir kontroliuojamas srautas tarp interneto ir organizacijos paslaugų.
• Naudojami ACL tinkluose, kad būtų kontroliuojama komunikacija tarp organizacijos tinklo, svetainių ir debesijos paslaugų.
• Naudojami ACL sistemose, kad būtų kontroliuojama prieiga prie sistemos ar objektų (pvz., saugojimo objektų).
• ACL yra valdoma tik įgaliotų darbuotojų ir grindžiama darbo aprašymais (ACL sistemose) arba iš anksto patvirtintais tinklo dizainais (tinklo ACL).
• ACL yra reguliariai peržiūrimi (priklausomai nuo klasifikacijos) arba po esminių pokyčių.

• Centras logų įrašymo sistema įdiegta visose organizacijos paslaugose.
• Logai yra pasiekiami tik įgaliotiems darbuotojams, laikantis reikalingumo principo.
• Logų valdymas atliekamas tik įgaliotų darbuotojų.
• Logų valdymas generuoja perspėjimus pagal iš anksto nustatytus kriterijus.

• Centralizuotas žurnalavimas yra įgyvendintas programoms, dalyvaujančioms organizacijos mokėjimo paslaugos teikime.
• Žurnalų peržiūra leidžiama tik įgaliotiems darbuotojams, vadovaujantis būtinybės žinoti principu.
• Žurnalų valdymo sistema yra administruojama įgaliotų darbuotojų.
• Žurnalų valdymo sistema generuoja įspėjimus pagal iš anksto nustatytus kriterijus.

• Organizacija įdiegia MDM sprendimą visų galinių įrenginių (darbalaukių, nešiojamų kompiuterių, išmaniųjų telefonų ir planšetinių kompiuterių) valdymui tiek darbuotojams, tiek ilgalaikiams konsultantams.
• MDM sprendimas valdo prieigą prie kiekvienos įrenginio naudojant sąlyginę prieigą ir dviejų veiksnių autentifikavimą.
• MDM sprendimas valdo įrenginio konfigūraciją, tokią kaip leidžiamos programos ir saugumo konfigūracija, kaip šifravimas ir prieigos akreditacijos duomenys. MDM sprendimas valdo įrenginių atnaujinimus, pvz., operacinės sistemos ir programų, kuriuos galima siųsti į konkrečius įrenginius, kai reikia.
• MDM sprendimas leidžia nuotoliniu būdu užrakinti arba ištrinti įrenginius.
• MDM sprendimas yra valdomas tik įgalioto personalo.

• Organizacija taiko daugiafaktorinę autentifikaciją (MFA) tiek teikiamoms, tiek naudojamoms paslaugoms.
• MFA taikymas priklauso nuo sistemos/paslaugos/duomenų klasifikacijos ir apima:
  1. Aparatinį MFA raktą
  2. Įrenginio sertifikatus
  3. Vartotojo sertifikatus
  4. Programinį MFA raktą (pvz., TOTP)
  5. SMS (žinutėmis pagrįstą) MFA

Saugumo atnaujinimai įdiegiami automatiškai.

Programinio kodo pakeitimai yra pasirašomi kriptografiškai naudojant GPG ir kūrėjo asmeninį HSM įrenginį.

• Organizacija įgyvendina pažeidžiamumų valdymo programą vidiniams ir viešai prieinamiems ištekliams bei paslaugoms.
• Taip pat naudojamas programinio kodo pažeidžiamumo skeneris.
• Pažeidžiamumų vertinimas atliekamas kas savaitę, prioritetą teikiant pagal rizikos lygį.