אבטחה
Last updated: אפריל 10, 2025
אנו לוקחים את האבטחה ברצינות. וזה לא רק משפט, אלא דרך בה אנו מתכננים, מפתחים ומספקים את המוצר שלנו.
אבטחת תשתיות
שירותי ושמירת המידע של Shifton נמצאים באזור האיחוד האירופי
רשת
כל השרתים שלנו נמצאים בענן וירטואלי פרטי (VPC) משלנו עם רשימות בקרת גישה רשתיות (ACLs) שמונעות גישה לא מורשית לרשת הפנימית שלנו.
הרשאות ואימות
הגישה למידע הלקוחות מוגבלת לעובדים מורשים בלבד, הנדרשים לכך במסגרת תפקידם.
הצפנה
כל המידע מוצפן בהעברה עם הצפנה ברמת בטיחות גבוהה. כל נקודות הקצה, בין אם הן ממשקים או APIs מוגבלות לגישה ב-HTTPS בלבד. אנו מקפידים על שיטות עבודה מומלצות כמו שימוש ב-TLS 1.3, HSTS ו-CAA, תמיד משיגים את התוצאה הטובה ביותר ב-
מבחן Qualys SSL labs
תגובה לאירועים
אנו מיישמים פרוטוקול להתמודדות עם אירועי אבטחה הכולל נהלי סקלאציה, הפחתת סיכונים מהירה ובחינת האירוע לאחר סיומו.
שחזור מאסון, גיבויים וניטור
יש לנו פריסה לשחזור והתאוששות במספר אזורים, שמבטיחה בטיחות נתוני לקוחות וזמינות גבוהה. אנו מנטרים את כל רכיבי המערכת ומגיבים ביעילות לבעיות שמתעוררות.
תכונות אבטחת מוצר
SSO
Shifton תומכת ב-SSO מבוסס OpenID לשני הספקים הפופולריים ביותר
- Microsoft Entra ID (לשעבר, Azure AD) – תומך בחשבונות אישיים ועסקיים. Shifton היא שותפה מאומתת של Microsoft והפתרון שלנו דבקה בכל שיטות העבודה המומלצות וזמין להתקנה קלה על ידי צוותי IT ב-
Azure Marketplace - חשבונות Google workspace, גם אישיים וגם עסקיים
הרשאות
Shifton מיישמת מערכת RBAC מתקדמת ויש לה מספר תפקידים מובנים זמינים לכל הלקוחות. יחד עם הייררכיה רב-רמתית, ניתן להגדיר רמות גישה שונות ומדויקות לאפליקציה.
סיסמאות
כל הסיסמאות עוברות חשיש חד כיווני עם ספריית bcrypt ולעולם לא מאוחסנות בטקסט ברור.
תכונות אנטרפרייז
לקוחות אנטרפרייז עשויים להיות זכאים לתכונות אבטחה נוספות, ביניהם
- רולים מותאמים אישית נוספים
- יכולת לשלוט על עוצמת הסיסמאות
- יכולת לשלוט על אפשרויות ההתחברות (שם משתמש/סיסמא, Microsoft SSO, Google SSO)
- יכולת להגביל הזמנות לדומיינים מסוימים
מחויבות לאבטחת עובדים
מדיניות
יש לנו מדיניות ברורה וקפדנית הקשורה לאבטחה ופרטיות. כל העובדים עוברים הכשרה כדי להכיר ולהתעדכן בכל השינויים.
סודיות
כל החוזים עם העובדים כוללים הסכם סודיות.
תת-מעבדים
כמו כל מוצר SaaS מודרני, אנו משתמשים בפלטפורמות אחרות כדי ליישם תכונות מסוימות. אף אחד מהמוצרים והשירותים הללו אינו ניגש לנתוני לקוחות מעבר לכמות המינימלית הנדרשת לצורך הפעולה.
Stripe
אנו משתמשים ב-Stripe כמעבד התשלומים שלנו. ניתן למצוא פרטים על בטיחותם ועמידתם ב-PCI בדף ה-
אבטחה של Stripe.
Microsoft
משמש עבור SSO (Entra ID) וניתוח אתרי אינטרנט
משמש לניתוח אתרי אינטרנט, SSO, משלוח התראות דחיפה, פלטפורמת Maps ותכונות אחרות
שילוב עם Crisp
כדי להבטיח תקשורת מאובטחת ונוחה עם הלקוחות שלנו, אנו משתמשים ב-Crisp.chat — פלטפורמת צ'אט חי ותמיכה מודרנית שעונה על תקני אבטחה גבוהים.
ניתן לעיין ב- שיטות האבטחה של Crisp.chat.