— пріоритет. Це стосується як даних клієнтів, так і нашої команди.Для кожного клієнта ми впроваджуємо унікальні заходи безпеки та забезпечуємо індивідуальний технічний та організаційний контроль проєктів. Нижче наведено кроки захисту даних, які вживають наші департаменти корпоративної безпеки та технологій.
Ми класифікуємо всі наші дані за відповідними категоріями, щоб ефективніше використовувати та захищати їх. Це також спрощує пошук і отримання даних. Класифікація даних особливо важлива для управління ризиками, відповідності та безпеки даних. Процедура класифікації даних ретельно задокументована.
Незалежно від рівня перевірки безпеки чи дозволів, кожен член нашої команди має доступ лише до інформації, необхідної для надання послуг. Кожен, хто бажає отримати більше повноважень або вищий рівень доступу, має отримати дозвіл департаменту корпоративної безпеки.
Ми використовуємо процедури забезпечення безперервності бізнесу та аварійного відновлення, щоб мінімізувати вплив відключень та збоїв на операції та допомогти компанії відновитися після несприятливих ситуацій. Ці процедури допомагають мінімізувати ризик втрати даних і шкоди репутації, покращуючи роботу та знижуючи ймовірність надзвичайних ситуацій. Ця процедура задокументована, і ми застосовуємо її лише у випадку серйозних інцидентів.
The main purpose of risk assessment for us is to help our Corporate Security and Technology Departments identify any event that could negatively affect our organization generally and each department in particular. Based on the ISO/IEC 27001:2022 standard requirements, we conduct an annual risk assessment of all departments. This helps us be sure that every department's operations are safe, secure, and cannot become the sources for leaks and breaches.
Наша команда реагування на інциденти своєчасно та безперервно реагує на кожен інцидент і відстежує вже виниклі випадки. Інциденти можуть бути виявлені нашими системами IPS/IDS і DLP або особисто керівництвом. Кожен інцидент проходить життєвий цикл від виявлення до ліквідації та вжиття контрзаходів. Кожен інцидент документується, що допомагає нам відстежувати його поточний статус і вживати заходів, щоб уникнути його повторення в майбутньому.
Після проходження всіх етапів співбесіди та отримання пропозиції про співпрацю, новий спеціаліст переходить на етап онбордингу. Ми переглядаємо історію кожного кандидата, щоб підтвердити його освіту та досвід роботи, необхідний для посади. Перевірка даних також є частиною процесу. З її допомогою ми дізнаємося, чи мала людина проблеми із законом та судимість, що дуже важливо для роботи з високозахищеними проєктами.
Усі члени команди SupportYourApp проходять відповідне навчання з питань безпеки, тренінги та регулярні оновлення організаційних політик і процедур, відповідно до їхніх посадових функцій. Наша програма підвищення обізнаності включає тренінги для персоналу всіх посад у різних форматах (презентації, відео тощо), перевірку вивченого матеріалу, фішингові симуляції, які імітують спроби фішингу/спаму/шахрайства, і регулярні інформаційні розсилки. Кожен член команди має власну оцінку ризику та інформаційну панель, щоб за ними міг стежити відділ корпоративної безпеки.
Шифрування в стані спокою подібне до зберігання даних у сховищі, а шифрування під час передачі — до транспортування в броньованому автомобілі. Ми використовуємо шифрування даних під час передачі як для віддаленої, так і для офісної роботи, тоді як шифрування в стані спокою застосовується лише для офісної роботи або використання нашого QCRM.
У нас є IDS/IPS. Ця система запобігає несанкціонованому доступу до корпоративних систем завдяки власному графічному менеджеру правил і можливостям полювання на загрози.
Наше DLP-рішення захищає корпоративні дані від витоку, контролюючи всі дії пристроїв на кінцевих точках та скануючи всі можливі точки виходу для виявлення конфіденційного вмісту. DLP гарантує, що критично важливі бізнес-дані не залишають внутрішню мережу без авторизації.
Система RBAC дозволяє кожному члену команди мати доступ тільки до необхідної для роботи інформації. Система керування мобільними пристроями (MDM) дозволяє нашому технологічному департаменту керувати всіма мобільними пристроями, включаючи телефони, планшети та ноутбуки.
У рамках нашої стратегії безпеки ми використовуємо MFA, щоб досягти:
Наша компанія має сувору політику паролів:
Ми використовуємо відеоспостереження, щоб:
у разі інциденту мати можливість відстежити дії, які призвели до його виникнення;
мати можливість контролювати весь периметр компанії в усіх наших офісах;
запобігти майбутнім інцидентам, оскільки наявність відеоспостереження може відлякати потенційних зовнішніх і внутрішніх зловмисників. Ми розділили всю територію компанії на зони безпеки, які використовуються для ідентифікації контролю доступу та засобів охорони, необхідних для захисту всіх об’єктів. Вся інформація SupportYourApp обробляється тільки в спеціально обладнаних зонах безпеки. Доступ до цінних, дуже чутливих або критичних активів базується на чіткій і помітній ієрархії зон і надається лише на основі найменших привілеїв. Доступ до приміщень компанії дозволено лише членам команди SupportYourApp і обмежено для всіх інших. Доступ до приміщень SupportYourApp здійснюється шляхом сканування біометричних даних на спеціальних сканерах. Кожен у SupportYourApp має особисті бейджі, які дозволяють нам бути візуально ідентифікованими на території компанії.
Щороку ми проводимо внутрішній аудит та оцінку ризиків кожного відділу. Так ми перевіряємо, що процеси управління ризиками, внутрішнього та загального контролю нашої компанії працюють ефективно. Ми проводимо внутрішні аудити, щоб:
Окрім відповідності стандарту ISO/IEC, наша компанія також відповідає міжнародному стандарту PCI DSS. Завдяки нашим командам підтримки, які працюють з конфіденційними даними клієнтів, ми вживаємо найвищих заходів захисту, щоб запобігти витокам чи пошкодженню даних. Саме тому ми проходимо аудит PCI DSS завдяки стороннім аудиторам, що підтверджує наш статус Постачальника Послуг PCI DSS рівня 1.
Our corporate and our clients’ customers’ data safety is our priority. To ensure our systems are up to standard, we undergo a special audit for compliance with the international standard ISO/IEC 27001:2022. To make sure we pass the audit, and confirm the safety of all our systems, we regularly update our security policies, undergo team-wide security trainings, and set up new incident monitoring systems. This way we not only remain up to ISO/IEC 27001: 2022 standard, but provide the safest possible services.
наш клієнт
