MENU
    Каковы политика и инфраструктура кибербезопасности компании Tulip?
    • 26 Mar 2024
    • 1 Минута для чтения
    • Авторы

    Каковы политика и инфраструктура кибербезопасности компании Tulip?


    Вводный текст

    Назначение

    Ознакомьтесь с общими правилами безопасности компании Tulip.

    Безопасность является основой программного обеспечения, операций, инфраструктуры и процессов Tulip. Мы используем лучшие промышленные стандарты для обеспечения безопасности, шифрования и управления угрозами.

    Инфраструктура

    Облако Tulip работает на базе Amazon Web Services или Microsoft Azure, в зависимости от доступности региона и выбора при развертывании. Обе системы обеспечивают лучшие в своем классе центры обработки данных и безопасность инфраструктуры. В случае AWS серверы Tulip находятся в виртуальном частном облаке AWS, защищенном брандмауэрами Security Group. Административный доступ защищен как ключами доступа с коротким сроком действия, так и белыми списками IP-адресов. Все учетные записи Tulip AWS и других облаков защищены надежными паролями и многофакторной аутентификацией. Центры обработки данных Amazon отвечают многочисленным требованиям соответствия, включая ISO 27001, SOC, PCI и FedRAMP.

    Шифрование

    Все данные, отправляемые в Tulip и из Tulip через публичный интернет, шифруются по протоколу TLS с использованием самых надежных рекомендованных наборов шифров. Конфигурация TLS компании Tulip получила оценку A+ от Qualsys's SSLLabs. Все данные, хранящиеся в Tulip, включая приложения, аналитические данные и загруженные активы, шифруются в состоянии покоя с использованием 256-битного AES.

    Хранение данных

    Tulip хранит данные в сервисах S3 и RDS компании AWS, а также в сервисе MongoDB Atlas компании MongoDB Inc. Tulip использует формальный процесс проверки сторонних поставщиков, которые работают с данными клиентов, чтобы убедиться, что они соответствуют или превосходят стандарты безопасности данных Tulip.

    Приложение

    Tulip следует лучшим практикам в области веб-приложений, в том числе рекомендованным OWASP. Tulip использует HSTS для обеспечения шифрования при передаче данных, шаблонизацию DOM и CSP для предотвращения XSS, X-Frame-Options для предотвращения перехвата кликов, а также localStorage вместо cookies для предотвращения CSRF-атак. Применение ACL на стороне сервера обеспечивается с помощью проверки кода, а также готовых и специализированных инструментов статического анализа. Пароли хэшируются с помощью SHA-256 на стороне клиента, а затем повторно хэшируются с помощью bcrypt на стороне сервера.

    Процесс

    Весь производственный код проверяется несколькими инженерами. Tulip регулярно проходит тесты на проникновение, проводимые сторонними компаниями по безопасности. Tulip регулярно проводит внутренние проверки безопасности и использует документированный процесс разработки программного обеспечения.

    Общая модель безопасности

    Tulip использует модель совместной безопасности для установления ответственности между Tulip, нашими клиентами и сторонними поставщиками.

    Дополнительная информация

    Ознакомьтесь с нашей политикой ИТ-безопасности


    Была ли эта статья полезной?