Melyek a Tulip kiberbiztonsági politikái és infrastruktúrája?

Cél

Ismerje meg a Tulip általános biztonsági irányelveit.

A biztonság a Tulip szoftverének, működésének, infrastruktúrájának és folyamatainak központi eleme. A biztonság, a titkosítás és a fenyegetések kezelése terén az ipari szabványok szerinti legjobb gyakorlatokat alkalmazzuk.

Infrastruktúra

A Tulip felhője az Amazon Web Services-en fut, amely a kategóriájában legjobb adatközpontot és infrastrukturális biztonságot nyújtja. A Tulip szerverei egy AWS virtuális magánfelhőben vannak, amelyet Security Group tűzfalak védenek. A rendszergazdai hozzáférést SSH kulcsos bejelentkezés és IP fehérlistázás is védi. Minden Tulip AWS és egyéb felhőfiókot erős jelszóval és többfaktoros hitelesítéssel védünk. Az Amazon adatközpontjai számos megfelelési követelménynek megfelelnek, többek között az ISO 27001, SOC, PCI és FedRAMP szabványoknak.

Titkosítás

A nyilvános interneten keresztül a Tulip-hoz és a Tulip-ból küldött összes adatot TLS-en keresztül titkosítjuk a legerősebb ajánlott titkosítási készleteket használva. A Tulip TLS-konfigurációja A+ osztályzatot kapott a Qualsys SSLLabs-től. A Tulip által tárolt összes adat, beleértve az alkalmazásokat, az elemzési adatokat és a feltöltött eszközöket, nyugalmi állapotban 256 bites AES titkosítással van titkosítva.

Adattárolás

A Tulip az adatokat az AWS S3 és RDS szolgáltatásaiban, valamint a MongoDB Inc. MongoDB Atlas szolgáltatásában tárolja. A Tulip hivatalos eljárást alkalmaz az ügyféladatokat kezelő harmadik fél szolgáltatók felülvizsgálatára annak biztosítása érdekében, hogy azok megfeleljenek vagy meghaladják a Tulip adatbiztonsági szabványait.

Alkalmazás

A Tulip követi az összes webes alkalmazás legjobb gyakorlatát, beleértve az OWASP által ajánlottakat is. A Tulip HSTS-t használ az átviteli titkosítás biztosítására, DOM templatingot és CSP-t az XSS elkerülése érdekében, X-Frame-Options-t a kattintás elleni védelem érdekében, valamint localStorage-t a cookie-k helyett a CSRF-támadások elkerülése érdekében. A kiszolgálóoldali ACL-kényszerítést a kód felülvizsgálatával, valamint a készleten lévő és az egyedi statikus elemző eszközökkel hajtjuk végre. A jelszavakat az SHA-256 kliensoldali, majd a bcrypt szerveroldali használatával újra feldaraboljuk.

Folyamat

Minden termelési kódot több mérnök vizsgál át. A Tulip rendszeres behatolásteszteken esik át harmadik fél biztonsági cégek által. A Tulip rendszeres belső biztonsági felülvizsgálatokat végez, és dokumentált szoftverfejlesztési folyamatot alkalmaz.

Megosztott biztonsági modell

A Tulip megosztott biztonsági modellt alkalmaz a Tulip, az ügyfeleink és a harmadik fél beszállítóink közötti felelősség megállapítása érdekében.

További olvasnivalók

IT biztonsági szabályzatunk