Sikkerhetstjenester som tilbys
-
Oppdatering av Log4j/Log4Shell
Teamet vårt er klar over den nylige sårbarheten i loggingssystemet Java Log4j. NutshellVår infrastruktur er minimalt eksponert for Java, og da vi fikk vite om sårbarheten, foretok vi en gjennomgang av systemene våre. Vi har ikke identifisert noen systemer som kjører en berørt versjon av Log4j, inkludert Solr- og Jenkins-infrastrukturen vår.
Vi fortsetter å gjennomgå systemene våre for å sikre at dataene dine er trygge, og vi vil fortsette å følge med på bransjens sikkerhetslister for å avdekke problemer som dette.
-
Alltid kryptert
Vi bruker 256-biters TLS 1.2-kryptering i bankklasse hver gang du åpner kontoen din på Nutshell , enten det er via nettet eller mobilapplikasjonene våre. Opplysningene dine er kryptert når de ligger i databasene våre.
-
Kontinuerlig sikkerhetskopiering
Alle data replikeres umiddelbart til flere servere. Vi tar også øyeblikksbilder to ganger daglig, ukentlig og månedlig. Tredjeparts overvåkningstjenester varsler teamet vårt umiddelbart om eventuelle problemer. Se oppdateringer om tilgjengelighet i sanntid på status.nutshell.com.
-
Beskyttede finansielle data
Vi bruker en PCI-kompatibel leverandør til å lagre faktureringsinformasjonen din på en sikker måte. Kredittkortinformasjon lagres ikke på våre servere.
-
Sikre passord
Passordene er enveiskrypterte og er ikke tilgjengelige for Nutshell .
-
Vellykket CASA-vurdering
Vi har gjennomført en CASA-vurdering (Cloud Application Security Assessment) for nettapplikasjonen vår, som bekrefter at vi oppfyller sikkerhetskravene fra App Defense Alliance (ADA).
Kravene omfatter tilpasning til bransjeledende sikkerhetsrammeverk og mangel på funn knyttet til vanlige svakheter (CWE) med høy eller middels risiko for utnyttelse.
Og her er detaljene for sikkerhetsproffene:
Nettverkssikkerhet
Ingeniørteamet vårt har erfaring med å håndtere petabyte med data på en sikker og holdbar måte. Vi iverksetter følgende tiltak for å sikre dataene dine når de er i ro og når de overføres i nettverk.
- Brannmurer, VPN-er, moderne Linux-operativsystemer, konservativ nettverks- og sikkerhetsgruppekonfigurasjon.
- Kryptering i hvile
- VPN for å sikre de ansattes tilgang og kryptere alle data som overføres via Internett-koblinger.
- Nutshell Passordene er saltet og enveis hashet. Våre ansatte kan ikke få tilgang til eller se passordet ditt
- Innloggingssidene er beskyttet mot brute-force-angrep.
- Vi følger bransjens sikkerhetslister og patcher kritiske problemer raskt (vi patchet Heartbleed i løpet av få timer).
- Vi bruker en datalagringsarkitektur med flere leietakere. Kundedata lagres i separate siloer per konto for å isolere og beskytte dataene dine.
Driftssikkerhet
Kundestøtteteamet vårt holder til internt hos vårt tekniske team i Ann Arbor. Vi vil kun få tilgang til kontoen din med din tillatelse for å feilsøke supportproblemer. Personalet vil aldri be om passordet ditt til Nutshell .
- Alle personalets datamaskiner kjører med full diskkryptering og sterke passord.
- Vi begrenser eksponeringen for Windows i vårt interne nettverk.
- Alle ansatte på Nutshell får et eksemplar av 1Password den første dagen.
- Kontorene er sikret med individuelle nøkkelkort.
Økonomisk sikkerhet
Din kredittkort- og faktureringsinformasjon lagres på en sikker måte. Faktureringsleverandøren vår er PCI-kompatibel og administreres separat fra Nutshell applikasjonssystemer.
Passord
Nutshell bruker enveis hashing for å lagre en representasjon av passordet ditt på en sikker måte. Vi kan ikke gjenopprette et passord - du må bruke vårt verktøy for glemt passord sammen med e-postadressen din for å gjenopprette passordet ditt. Det er ditt ansvar å holde e-postadressen Nutshell oppdatert.
Det er ditt ansvar å velge sikre passord og oppbevare dem trygt. Nutshell kan ikke holdes ansvarlig for data som er kompromittert på grunn av et usikkert eller stjålet brukerpassord. Hvis du autentiserer deg på Nutshell via en tredjepart (f.eks. Google Apps), må disse passordene også være sikre.
Ansvarlig offentliggjøring
Hvis du er sikkerhetsforsker eller tror at du har støtt på et sikkerhetsproblem på Nutshell, kan du lese følgende merknader.
Nutshell tilbyr ikke et bug bounty-program for å betale for rapporter.
Rapporter eventuelle sikkerhetsproblemer til security@nutshell.com. Hvis du trenger å sende en kryptert melding, finner du den på Keybase.
Vi ber om at du gir oss rimelig tid til å svare på rapporter før vi offentliggjør informasjon.
Du må ikke utføre sikkerhetsundersøkelser som kan føre til ødeleggelse av data, avbrudd eller forringelse av tjenesten. Dette inkluderer bruk av automatiserte verktøy eller skannere: De vil sannsynligvis føre til at IP-adressen din blir utestengt.
Vi aksepterer ikke ansvarlige rapporter om følgende forhold:
- Iframe/brukergrensesnittet løser problemer knyttet til X-Frame-Options-hoder
- Implementering av HSTS
- Styrke på passord oppgitt av brukeren
- Konfigurasjonsproblemer med SPF, DKIM og DMARC
- Problemer med brukeropptelling (vi bruker hastighetsbegrensning for å beskytte brukerne våre)
- Tilstedeværelse av banner eller versjonsinformasjon
Takksigelser
Vi har mottatt opplysninger fra mange enkeltpersoner og organisasjoner for å gjøre Nutshell til et sikrere sted. Du kan lese om dem her.