Jakie są polityki i infrastruktura bezpieczeństwa cybernetycznego Tulipa?

Cel

Dowiedz się o ogólnych zasadach bezpieczeństwa Tulipa.

Bezpieczeństwo jest podstawą oprogramowania, operacji, infrastruktury i procesów Tulipa. Korzystamy z najlepszych praktyk przemysłowych w zakresie bezpieczeństwa, szyfrowania i zarządzania zagrożeniami.

Infrastruktura

Chmura Tulipa działa na Amazon Web Services, który zapewnia najlepsze w swojej klasie centrum danych i bezpieczeństwo infrastruktury. Serwery Tulipa znajdują się w wirtualnej chmurze prywatnej AWS, chronionej przez firewalle Security Group. Dostęp administracyjny jest chroniony zarówno przez logowanie kluczem SSH, jak i whitelisting IP. Wszystkie konta Tulip AWS i inne konta w chmurze są chronione silnym hasłem i uwierzytelnianiem wieloczynnikowym. Centra danych Amazon spełniają liczne wymogi zgodności, w tym ISO 27001, SOC, PCI i FedRAMP.

Szyfrowanie

Wszystkie dane wysyłane do i z Tulipa przez publiczny internet są szyfrowane w tranzycie przez TLS przy użyciu najmocniejszych zalecanych zestawów szyfrów. Konfiguracja TLS Tulipa otrzymała ocenę A+ od Qualsys's SSLLabs. Wszystkie dane przechowywane przez Tulip, w tym aplikacje, dane analityczne i przesłane zasoby, są szyfrowane w spoczynku przy użyciu 256-bitowego AES.

Przechowywanie danych

Dane są przechowywane przez Tulipa w usługach AWS S3 i RDS, jak również w usłudze MongoDB Atlas firmy MongoDB Inc. Tulip stosuje formalny proces weryfikacji zewnętrznych dostawców, którzy obsługują dane klientów, aby zapewnić, że spełniają lub przekraczają standardy bezpieczeństwa danych Tulipa.

Aplikacja

Tulip przestrzega wszystkich najlepszych praktyk aplikacji internetowych, w tym tych zalecanych przez OWASP. Tulip używa HSTS, aby zapewnić szyfrowanie w tranzycie, szablonów DOM i CSP, aby uniknąć XSS, X-Frame-Options, aby zapobiec clickjackingowi oraz localStorage zamiast ciasteczek, aby uniknąć ataków CSRF. Egzekwowanie ACL po stronie serwera jest egzekwowane poprzez przeglądanie kodu, a także standardowe i własne narzędzia analizy statycznej. Hasła są haszowane przy użyciu SHA-256 po stronie klienta, a następnie ponownie haszowane przy użyciu bcrypt po stronie serwera.

Proces

Cały kod produkcyjny jest sprawdzany przez wielu inżynierów. Tulip przechodzi regularne testy penetracyjne przeprowadzane przez firmy zewnętrzne zajmujące się bezpieczeństwem. Tulip wykonuje regularne wewnętrzne przeglądy bezpieczeństwa i stosuje udokumentowany proces rozwoju oprogramowania.

Wspólny model bezpieczeństwa

Tulip stosuje model wspólnego bezpieczeństwa, aby ustanowić odpowiedzialność między Tulipem, naszymi klientami i naszymi sprzedawcami.

Dalsza lektura

Zobacz naszą Politykę Bezpieczeństwa IT