Tillhandahållna säkerhetstjänster
-
Uppdatering av Log4j/Log4Shell
Vårt team är medvetet om den senaste sårbarheten i loggningssystemet Java Log4j. NutshellVår infrastruktur har minimal exponering för Java, och när vi fick kännedom om sårbarheten genomförde vi en granskning av våra system. Vi har inte identifierat något system som kör en påverkad version av Log4j, inklusive vår Solr- och Jenkins-infrastruktur.
Vi fortsätter att se över våra system för att garantera säkerheten för dina uppgifter, och vi kommer att fortsätta att övervaka branschens säkerhetslistor för problem som detta.
-
Alltid krypterad
Vi använder 256-bitars TLS 1.2-kryptering av bankklass varje gång du öppnar ditt konto på Nutshell , oavsett om det sker via webben eller våra mobila applikationer. Dina uppgifter krypteras i vila i våra databaser.
-
Kontinuerliga säkerhetskopior
Alla data replikeras omedelbart till flera servrar. Vi tar också ögonblicksbilder två gånger om dagen, varje vecka och varje månad. Övervakningstjänster från tredje part meddelar omedelbart vårt team om eventuella problem. Se tillgänglighetsuppdateringar i realtid på status.nutshell.com.
-
Skyddade finansiella data
Vi använder en PCI-kompatibel leverantör för att lagra din faktureringsinformation på ett säkert sätt. Kreditkortsinformation lagras inte på våra servrar.
-
Säkra lösenord
Lösenorden krypteras enkelriktat och kan inte kommas åt av Nutshell personal.
-
Godkänd CASA-bedömning
Vi har framgångsrikt genomfört en CASA-bedömning (Cloud Application Security Assessment) för vår webbapplikation och därmed bekräftat att vi uppfyller de säkerhetskrav som ställs av App Defense Alliance (ADA).
Kraven omfattar anpassning till branschledande säkerhetsramverk och avsaknad av fynd kopplade till Common Weakness Enumerations (CWE) med hög eller medelhög risk för utnyttjande.
Och här är detaljerna för säkerhetsproffsen:
Nätverkssäkerhet
Vårt tekniska team har erfarenhet av att hantera petabytes av data på ett säkert och hållbart sätt. Vi vidtar följande åtgärder för att hålla dina data säkra i vila och när de överförs i nätverk.
- Brandväggar, VPN, moderna Linux-operativsystem, konservativ nätverks- och säkerhetsgruppskonfiguration
- Kryptering i vila
- VPN för att säkra anställdas åtkomst och kryptera all data som skickas via internetlänkar
- Nutshell Lösenorden är saltade och enkelriktat hashade. Vår personal kan inte komma åt eller se ditt lösenord
- Inloggningssidor är skyddade mot brute-force-attacker
- Vi följer branschens säkerhetslistor och åtgärdar snabbt kritiska problem (vi åtgärdade Heartbleed inom några timmar)
- Vi använder en arkitektur för datalagring med flera hyresgäster. Kunddata lagras i separata silos per konto, för att isolera och skydda dina data
Operativ säkerhet
Vårt supportteam är baserat internt hos vårt teknikteam i Ann Arbor. Vi kommer endast åt ditt konto med ditt tillstånd för att felsöka supportproblem. Personalen kommer aldrig att be om ditt lösenord till Nutshell .
- Alla personalens datorer körs med fullständig diskkryptering och starka lösenord
- Vi begränsar vårt interna nätverks exponering för Windows
- Alla anställda på Nutshell får en kopia av 1Password på sin första arbetsdag
- Kontoren är säkrade med individuella nyckelkort
Ekonomisk trygghet
Dina kreditkorts- och faktureringsuppgifter lagras på ett säkert sätt. Vår faktureringsleverantör är PCI-kompatibel och hanteras separat från Nutshell applikationssystem.
Lösenord
Nutshell använder envägs-hashning för att lagra en representation av ditt lösenord på ett säkert sätt. Vi kan inte hämta ett lösenord - du måste använda vårt verktyg för bortglömda lösenord i kombination med din e-postadress för att återställa ditt lösenord. Det är ditt ansvar att hålla din e-postadress Nutshell uppdaterad.
Det är ditt ansvar att välja säkra lösenord och att hålla dem säkra. Nutshell kan inte hållas ansvarigt för data som äventyras på grund av ett osäkert eller stulet användarlösenord. Om du autentiserar dig med Nutshell via en tredje part (t.ex. Google Apps), måste dessa lösenord också vara säkrade.
Ansvarsfullt offentliggörande
Om du är säkerhetsforskare eller om du tror att du har stött på ett problem i Nutshell:s säkerhet, läs följande anvisningar.
Nutshell erbjuder inte något bug bounty-program för att betala för rapporter.
Rapportera eventuella säkerhetsproblem till security@nutshell.com. Om du behöver skicka ett krypterat meddelande kan du hitta det på Keybase.
Vi ber dig att ge oss rimlig tid att svara på rapporter innan du offentliggör information.
Vänligen utför inga säkerhetsundersökningar som kan leda till förstörelse av data, avbrott eller försämring av tjänsten. Detta inkluderar användning av automatiserade verktyg eller skannrar: de kommer sannolikt att leda till att din IP-adress förbjuds.
Vi accepterar inte ansvarsfulla redovisningsrapporter kring följande frågor:
- Iframe/gränssnittsproblem relaterade till X-Frame-Options-huvuden
- Genomförande av HSTS
- Användarspecifik lösenordsstyrka
- Konfigurationsfrågor för SPF, DKIM och DMARC
- Problem med användaruppräkning (vi använder hastighetsbegränsning för att skydda våra användare)
- Förekomst av banner eller versionsinformation
Förord
Vi har fått information från många individer och organisationer för att göra Nutshell till en säkrare plats. Du kan läsa om dem här.