Каковы политика и инфраструктура кибербезопасности компании Tulip?

Назначение

Ознакомьтесь с общими правилами безопасности компании Tulip.

Безопасность является основой программного обеспечения, операций, инфраструктуры и процессов Tulip. Мы используем лучшие промышленные стандарты для обеспечения безопасности, шифрования и управления угрозами.

Инфраструктура

Облако Tulip работает на базе Amazon Web Services или Microsoft Azure, в зависимости от доступности региона и выбора при развертывании. Обе системы обеспечивают лучшие в своем классе центры обработки данных и безопасность инфраструктуры. В случае AWS серверы Tulip находятся в виртуальном частном облаке AWS, защищенном брандмауэрами Security Group. Административный доступ защищен как ключами доступа с коротким сроком действия, так и белыми списками IP-адресов. Все учетные записи Tulip AWS и других облаков защищены надежными паролями и многофакторной аутентификацией. Центры обработки данных Amazon отвечают многочисленным требованиям соответствия, включая ISO 27001, SOC, PCI и FedRAMP.

Шифрование

Все данные, отправляемые в Tulip и из Tulip через публичный интернет, шифруются по протоколу TLS с использованием самых надежных рекомендованных наборов шифров. Конфигурация TLS компании Tulip получила оценку A+ от Qualsys's SSLLabs. Все данные, хранящиеся в Tulip, включая приложения, аналитические данные и загруженные активы, шифруются в состоянии покоя с использованием 256-битного AES.

Хранение данных

Tulip хранит данные в сервисах S3 и RDS компании AWS, а также в сервисе MongoDB Atlas компании MongoDB Inc. Tulip использует формальный процесс проверки сторонних поставщиков, которые работают с данными клиентов, чтобы убедиться, что они соответствуют или превосходят стандарты безопасности данных Tulip.

Приложение

Tulip следует лучшим практикам в области веб-приложений, в том числе рекомендованным OWASP. Tulip использует HSTS для обеспечения шифрования при передаче данных, шаблонизацию DOM и CSP для предотвращения XSS, X-Frame-Options для предотвращения перехвата кликов, а также localStorage вместо cookies для предотвращения CSRF-атак. Применение ACL на стороне сервера обеспечивается с помощью проверки кода, а также готовых и специализированных инструментов статического анализа. Пароли хэшируются с помощью SHA-256 на стороне клиента, а затем повторно хэшируются с помощью bcrypt на стороне сервера.

Процесс

Весь производственный код проверяется несколькими инженерами. Tulip регулярно проходит тесты на проникновение, проводимые сторонними компаниями по безопасности. Tulip регулярно проводит внутренние проверки безопасности и использует документированный процесс разработки программного обеспечения.

Общая модель безопасности

Tulip использует модель совместной безопасности для установления ответственности между Tulip, нашими клиентами и сторонними поставщиками.

Дополнительная информация

Ознакомьтесь с нашей политикой ИТ-безопасности