Заявление о безопасности

Настоящее Заявление о безопасности описывает технические и организационные меры, которые Kapsule Group Limited ("Kapsule Cloud") реализует для защиты данных, размещённых на нашей платформе. Оно упоминается в Соглашении об обработке данных и периодически обновляется для отражения улучшений нашей безопасности.

Наш основополагающий принцип - оборона в глубину: мы используем несколько независимых уровней защиты таким образом, чтобы отказ любого одного из них не привёл к раскрытию данных клиентов.

Мы поддерживаем документированные политики информационной безопасности и защиты данных, пересматриваемые не реже одного раза в год и обновляемые при возникновении существенных изменений в платформе или ландшафте угроз.

Назначенный сотрудник, ответственный за защиту данных, несет ответственность за соответствие требованиям защиты данных. Обязанности в области безопасности распределены между названными лицами в команде инфраструктуры.

Все сотрудники проходят обучение по вопросам защиты данных и безопасности при приеме на работу и ежегодно после этого. Сотрудники с доступом к производственным системам подлежат проверке биографических данных в соответствии с законодательством.

Инциденты безопасности и потенциальные инциденты записываются, рассматриваются и используются для постоянного совершенствования средств контроля.

Доступ к производственным системам и данным клиентов регулируется строгими элементами управления доступом на основе ролей, построенными в соответствии с принципом наименьших привилегий: персоналу предоставляется только тот доступ, который необходим для выполнения его конкретной роли.

Обязательная двухфакторная аутентификация (2FA) применяется для всего персонала, имеющего доступ к производственной инфраструктуре, панели управления хостингом, исходному коду и консолям поставщика облачных услуг.

Права доступа проверяются периодически и отзываются незамедлительно при смене роли или увольнении. События доступа и повышения привилегий регистрируются в журналах.

Производственная и непроизводственная среды строго разделены. Окружения клиентов логически изолированы друг от друга в рамках платформы хостинга.

Весь административный доступ к производственным серверам аутентифицируется с использованием пар ключей SSH; аутентификация SSH на основе пароля отключена.

Все данные, передаваемые между клиентами и нашей платформой, шифруются с использованием TLS 1.2 или более новой версии. Сертификаты TLS выдаются автоматически и обновляются до истечения срока действия.

Резервные копии, хранящиеся в удаленных местах, шифруются с помощью restic с использованием AES-256. Ключи шифрования хранятся отдельно от данных резервной копии и создаются их резервные копии в автономном режиме. Потеря ключа делает данные резервной копии невосстанавливаемыми, поэтому ключи хранятся в нескольких защищенных автономных местах.

Зашифрованные резервные копии хранятся в объектном хранилище Cloudflare R2, регион Океания, обеспечивая географическое разделение с нашей основной инфраструктурой Hetzner.

Конфиденциальные данные платформы (включая секреты, ключи API и учетные данные) хранятся в специализированных системах управления секретами и никогда не встраиваются в исходный код или файлы конфигурации, загруженные в систему контроля версий.

Сервисы, обращённые к клиентам, защищены веб-приложением Cloudflare (WAF) и системой смягчения DDoS-атак, которая поглощает объёмные атаки и атаки уровня приложений до того, как они достигнут нашей инфраструктуры.

Окружение хостинга клиентов разделено на отдельные сегменты сети: каждый сайт работает в изолированном контексте и не может получить доступ к данным других клиентов на сетевом уровне.

Операционные системы, программное обеспечение платформы и зависимости приложений обновляются согласно регулярному графику. Критические исправления безопасности применяются в течение 24-72 часов после выпуска. Инфраструктура, обращённая в интернет, проверяется на известные уязвимости на регулярной основе.

Правила брандмауэра ограничивают входящий доступ только необходимыми портами и сервисами. Ненужные сервисы отключены по умолчанию.

Периодическое тестирование на проникновение проводится независимыми квалифицированными специалистами. Существенные выявленные проблемы устраняются и повторно проверяются.

События доступа, изменения конфигурации, попытки аутентификации и события системы, релевантные для безопасности, регистрируются в централизованной системе логирования. Логи хранятся минимум 90 дней.

Здоровье платформы и сигналы безопасности отслеживаются круглосуточно. Оповещения маршрутизируются дежурному персоналу для немедленного расследования.

Мы ведем документированный план реагирования на инциденты с определенными уровнями серьезности, путями эскалации и процедурами коммуникации. План проверяется и тестируется минимум один раз в год.

В случае подтвержденного Уведомляемого нарушения конфиденциальности, затрагивающего Персональную информацию Клиента, мы уведомим затронутых клиентов в течение 72 часов с момента выявления, как требуется Privacy Act 2020 и Соглашением об обработке данных.

Sentry используется для отслеживания ошибок в реальном времени и мониторинга производительности приложений на всем стеке платформы.

Файлы сайта клиента, базы данных и данные электронной почты резервируются ежедневно в Cloudflare R2 (регион Oceania) с использованием restic. Резервные копии зашифрованы в состоянии покоя с помощью AES-256.

Период хранения резервных копий составляет минимум 30 дней для всех платных планов. Более высокие планы включают дополнительные еженедельные и ежемесячные снимки. Подробную информацию о сроках хранения для каждого плана см. в Соглашении об уровне обслуживания.

Процедуры восстановления задокументированы во внутренних runbooks и периодически тестируются. Команда платформы проводит учебные тренировки по восстановлению для проверки целостности резервных копий.

Кодовая база платформы Kapsule Cloud (включая скрипты конфигурации и подготовки) резервируется ежедневно в приватные репозитории GitHub в организации kapsulenz, обеспечивая независимый путь восстановления для самой платформы.

Процедуры восстановления после сбоев для каждого компонента инфраструктуры (хостинг-сервер, почтовый сервер, портал) задокументированы с целевыми временами восстановления от 2 до 4 часов в зависимости от компонента и размера данных.

Весь персонал, имеющий доступ к данным заказчика, связан обязательствами конфиденциальности либо по контракту, либо по закону.

Мы ведем письменные соглашения об обработке данных со всеми субподрядчиками. Эти соглашения требуют от субподрядчиков внедрения защиты не менее защитительной, чем предусмотрено нашим Соглашением об обработке данных, включая обязательства по конфиденциальности, безопасности и ограничению целей обработки.

Наш перечень субподрядчиков пересматривается не менее одного раза в год на предмет продолжающейся пригодности. Субподрядчики оцениваются на соответствие нашим минимальным требованиям безопасности до привлечения к работе.

Текущий перечень субподрядчиков опубликован на сайте kapsulecloud.com/legal/sub-processors.

Серверы в рабочей среде эксплуатируются в центрах данных Hetzner в Германии. Объекты Hetzner имеют рейтинг Tier III или эквивалент и обеспечивают: контролируемый физический доступ с многофакторной аутентификацией в точках входа; круглосуточный персонал безопасности на месте; резервное электроснабжение (источники бесперебойного питания и дизельные генераторы); резервные системы охлаждения; обнаружение пожара и его подавление.

Физический доступ к серверному оборудованию ограничен авторизованным сотрудникам Hetzner. Сотрудники Kapsule Cloud не имеют обычного физического доступа к производственному оборудованию; весь административный доступ осуществляется удаленно по зашифрованным каналам.

Выведенные из эксплуатации запоминающие устройства надежно стираются или уничтожаются в соответствии с процедурами центра данных Hetzner перед повторным использованием или утилизацией.

Мы следуем защищённому жизненному циклу разработки программного обеспечения. Все изменения кода в production-среде требуют обязательной проверки кода коллегами перед развёртыванием. Автоматизированное сканирование зависимостей запускается при каждой сборке для выявления известных уязвимостей в сторонних пакетах.

Секреты управляются с использованием выделенной системы управления секретами. Никакие учётные данные, ключи API или конфиденциальные значения конфигурации не фиксируются в репозиториях исходного кода.

Тестирование перед выпуском включает функциональные тесты, тесты регрессии и тесты, ориентированные на безопасность. Изменения потоков аутентификации, платежей или обработки данных подвергаются дополнительной проверке.

Входные данные, поступающие от пользователей, проверяются и санитизируются на всех границах приложения. Мы применяем стандартные средства защиты от рисков OWASP Top 10, включая SQL-инъекции, кросс-сайтовый скриптинг и поддельные кросс-сайтовые запросы.

Аутентификация KPanel: пароли хешируются с использованием Argon2id (устойчивой к GPU-атакам, требующей значительных объёмов памяти). Новые пароли проверяются по базе данных Have I Been Pwned с помощью поиска по префиксу k-anonymity перед принятием. Вход поддерживает двухфакторную аутентификацию на основе TOTP, одноразовые коды SMS и аппаратные ключи доступа (WebAuthn/FIDO2). OAuth-вход поддерживается через Google, GitHub и Apple Sign In с проверкой по JWKS-конечной точке каждого поставщика. Вход по магической ссылке по электронной почте ограничен тремя запросами в час на адрес и доступен в качестве способа восстановления. Токены сеанса являются криптографически случайными, хранятся хешированными в базе данных и истекают по истечении 30 дней неактивности.

Данные клиента логически разделены на уровнях хостинга, базы данных и приложений. Файлы, базы данных и учетные записи электронной почты каждого клиента изолированы под отдельными системными учетными записями без доступа между клиентами.

При прекращении клиентом своего обслуживания информация о личных данных клиента остается доступной для экспорта в течение 30 дней, после чего окончательно удаляется из активных систем. Зашифрованные резервные копии удаляются при следующем запланированном цикле ротации в течение 30 дней после удаления из активных систем.

Документированные процедуры удаления данных обеспечивают удаление данных из всех соответствующих систем, включая активные базы данных, кэш и хранилище приложений, а не только из основного хранилища данных.

Процедуры обработки запросов субъектов данных (доступ, исправление, удаление) документированы и протестированы. Инструменты экспорта KPanel позволяют клиентам получать свои данные в любое время в течение срока обслуживания.

Если у вас есть вопросы о наших методах обеспечения безопасности или вы хотите сообщить о предполагаемой уязвимости, пожалуйста, свяжитесь с нами по адресу [email protected].

Kapsule Group Limited, Christchurch, New Zealand.