Tarjotut turvallisuuspalvelut
-
Log4j / Log4Shell-päivitys
Tiimimme on tietoinen viimeaikaisesta haavoittuvuudesta Javan Log4j-lokitusjärjestelmässä. NutshellInfrastruktuurimme altistuu vain vähän Javalle, ja kun saimme tietää haavoittuvuudesta, tarkistimme järjestelmämme. Emme ole havainneet yhtään järjestelmää, jossa Log4j:n haavoittuva versio olisi käytössä, mukaan lukien Solr- ja Jenkins-infrastruktuurimme.
Tarkistamme jatkuvasti järjestelmiämme varmistaaksemme tietojesi turvallisuuden, ja seuraamme jatkossakin alan turvallisuusluetteloita tämänkaltaisten ongelmien varalta.
-
Aina salattu
Käytämme pankkitason 256-bittistä TLS 1.2 -salausta aina, kun käytät Nutshell -tiliäsi, olipa kyseessä sitten web- tai mobiilisovellus. Tietosi salataan tietokannoissamme levossa.
-
Jatkuvat varmuuskopiot
Kaikki tiedot kopioidaan välittömästi useille palvelimille. Otamme myös kaksi kertaa päivässä, viikoittain ja kuukausittain tilannekuvia. Kolmannen osapuolen valvontapalvelut kutsuvat tiimiämme välittömästi esiin kaikissa ongelmissa. Katso reaaliaikaiset saatavuuspäivitykset osoitteessa status.nutshell.com.
-
Suojatut taloudelliset tiedot
Käytämme PCI-yhteensopivaa palveluntarjoajaa laskutustietojesi turvalliseen tallentamiseen. Luottokorttitietoja ei tallenneta palvelimillemme.
-
Suojatut salasanat
Salasanat on salattu yksisuuntaisesti, eikä Nutshell henkilökunta pääse niihin käsiksi.
-
Onnistunut CASA-arviointi
Suoritimme onnistuneesti verkkosovelluksemme Cloud Application Security Assessment (CASA) -arvioinnin, jossa vahvistettiin, että täytämme App Defense Alliancen (ADA) asettamat turvallisuusvaatimukset.
Vaatimuksiin kuuluu muun muassa yhdenmukaisuus alan johtavien turvallisuuspuitteiden kanssa ja sellaisten löydösten puuttuminen, jotka liittyvät yhteisiin heikkouksiin, joiden hyödyntämisriski on suuri tai keskisuuri.
Ja tässä ovat yksityiskohdat turvallisuusammattilaisille:
Verkon turvallisuus
Insinööritiimillämme on kokemusta petatavujen tietojen turvallisesta ja kestävästä hallinnasta. Toteutamme seuraavat toimenpiteet pitääkseen tietosi turvassa levossa ja verkkojen välityksellä.
- Palomuurit, VPN:t, nykyaikaiset Linux-käyttöjärjestelmät, konservatiivinen verkko- ja suojausryhmäkonfigurointi.
- Salaus levossa
- VPN:t työntekijöiden pääsyn turvaamiseksi ja kaiken Internet-yhteyksien kautta kulkevan tiedon salaamiseksi.
- Nutshell salasanat on suolattu ja yksisuuntaisesti pilkottu. Henkilökuntamme ei pääse käsiksi salasanaan tai näe sitä
- Kirjautumissivut on suojattu brute-force-hyökkäyksiltä.
- Seuraamme alan turvallisuusluetteloita ja korjaamme kriittiset ongelmat nopeasti (korjasimme Heartbleedin muutamassa tunnissa).
- Käytämme monivuokralaisen tietovarastoarkkitehtuurin. Asiakastiedot tallennetaan erillisiin tilikohtaisiin siiloihin, jotta tiedot voidaan eristää ja suojata.
Operatiivinen turvallisuus
Tukitiimimme toimii Ann Arborin teknisen tiimimme kanssa. Pääsemme tiliisi käsiksi vain sinun luvallasi tukiongelmien ratkaisemiseksi. Henkilökunta ei koskaan kysy Nutshell -salasanaasi.
- Kaikissa henkilökunnan tietokoneissa on täydellinen levysalaus ja vahvat salasanat.
- Rajoitamme sisäverkkomme altistumista Windowsille.
- Jokainen Nutshell työntekijä saa 1Password-ohjelman ensimmäisenä päivänä.
- Toimistot on suojattu yksilöllisellä avainkortilla
Taloudellinen turvallisuus
Luottokortti- ja laskutustietosi säilytetään turvallisesti. Laskutuspalveluntarjoajamme on PCI-yhteensopiva ja sitä hallinnoidaan erillään Nutshell -sovellusjärjestelmistä.
Salasanat
Nutshell käyttää yksisuuntaista hashing-tekniikkaa salasanasi turvallisen tallentamisen varmistamiseksi. Emme voi palauttaa salasanaa - sinun on käytettävä unohtuneen salasanan työkalua yhdessä sähköpostiosoitteesi kanssa salasanasi palauttamiseksi. On sinun vastuullasi pitää Nutshell sähköpostiosoitteesi ajan tasalla.
On sinun vastuullasi valita turvalliset salasanat ja pitää ne turvassa. Nutshell ei ole vastuussa tiedoista, jotka ovat vaarantuneet turvattoman tai varastetun salasanan vuoksi. Jos tunnistaudut osoitteessa Nutshell kolmannen osapuolen (esim. Google Apps) kautta, myös nämä salasanat on suojattava.
Vastuullinen tiedonanto
Jos olet tietoturvatutkija tai uskot, että olet havainnut ongelman Nutshell:n tietoturvassa, lue seuraavat huomautukset.
Nutshell ei tarjoa bugipalkkio-ohjelmaa, jolla maksettaisiin ilmoituksista.
Ilmoita kaikista turvallisuusongelmista osoitteeseen security@nutshell.com. Jos haluat lähettää salatun viestin, löydät sen Keybasesta.
Pyydämme, että annat meille kohtuullisen ajan vastata raportteihin ennen tietojen julkistamista.
Älä tee tietoturvatutkimuksia, jotka voivat johtaa tietojen tuhoutumiseen, palvelun keskeytymiseen tai heikkenemiseen. Tähän kuuluu myös automaattisten työkalujen tai skannerien käyttö: ne todennäköisesti aiheuttavat IP-osoitteesi kieltämisen.
Emme hyväksy vastuullisia julkistamisraportteja seuraavista asioista:
- X-Frame-Options-otsakkeisiin liittyvät Iframe / UI-korjausongelmat
- HSTS:n täytäntöönpano
- Käyttäjän antaman salasanan vahvuus
- SPF-, DKIM- ja DMARC-konfigurointiin liittyvät ongelmat
- Käyttäjien luettelointiin liittyvät ongelmat (käytämme nopeusrajoituksia käyttäjien suojaamiseksi).
- Bannerin tai versiotietojen läsnäolo
Kiitokset
Olemme saaneet monilta yksityishenkilöiltä ja organisaatioilta tietoja, joiden avulla voimme tehdä Nutshell sivustosta turvallisemman paikan. Voit lukea niistä täältä.