Каковы политика и инфраструктура кибербезопасности компании Tulip?

Назначение

Узнайте об общих правилах безопасности компании Tulip.

Безопасность является основой программного обеспечения, операций, инфраструктуры и процессов компании Tulip. Мы используем лучшие практики промышленных стандартов для обеспечения безопасности, шифрования и управления угрозами.

Инфраструктура

Облако Tulip работает на базе Amazon Web Services, которая обеспечивает лучший в своем классе центр обработки данных и безопасность инфраструктуры. Серверы Tulip находятся в виртуальном частном облаке AWS, защищенном брандмауэрами Security Group. Административный доступ защищен как входом по ключу SSH, так и белым списком IP-адресов. Все учетные записи Tulip AWS и других облачных систем защищены надежными паролями и многофакторной аутентификацией. Центры обработки данных Amazon отвечают многочисленным требованиям соответствия, включая ISO 27001, SOC, PCI и FedRAMP.

Шифрование

Все данные, отправляемые в Tulip и из Tulip через публичный интернет, шифруются по протоколу TLS с использованием самых надежных рекомендуемых наборов шифров. Конфигурация TLS компании Tulip получила оценку A+ от Qualsys's SSLLabs. Все данные, хранящиеся в Tulip, включая приложения, аналитические данные и загруженные активы, шифруются в состоянии покоя с использованием 256-битного AES.

Хранение данных

Tulip хранит данные в сервисах S3 и RDS AWS, а также в сервисе MongoDB Atlas компании MongoDB Inc. Tulip использует формальный процесс проверки сторонних поставщиков, которые работают с данными клиентов, чтобы убедиться, что они соответствуют или превосходят стандарты безопасности данных Tulip.

Приложение

Tulip следует всем лучшим практикам в области веб-приложений, включая те, которые рекомендованы OWASP. Tulip использует HSTS для обеспечения шифрования при передаче, шаблонизацию DOM и CSP для предотвращения XSS, X-Frame-Options для предотвращения clickjacking, и localStorage вместо cookies для предотвращения CSRF-атак. Применение ACL на стороне сервера обеспечивается с помощью проверки кода, а также готовых и созданных на заказ инструментов статического анализа. Пароли хешируются с помощью SHA-256 на стороне клиента, а затем перехешируются с помощью bcrypt на стороне сервера.

Процесс

Весь производственный код проверяется несколькими инженерами. Tulip регулярно проходит тесты на проникновение, проводимые сторонними компаниями по безопасности. Tulip регулярно проводит внутренние проверки безопасности и использует документированный процесс разработки программного обеспечения.

Общая модель безопасности

Tulip использует модель общей безопасности для установления ответственности между Tulip, нашими клиентами и сторонними поставщиками.

Дополнительная информация

Ознакомьтесь с нашей политикой ИТ-безопасности