Poważnie podchodzimy do bezpieczeństwa. I nie jest to tylko stwierdzenie, ale sposób, w jaki planujemy, rozwijamy i dostarczamy nasz produkt.

Bezpieczeństwo Infrastruktur

Usługi i dane Shifton są hostowane w regionie UE

Sieć

Wszystkie nasze serwery znajdują się we własnej prywatnej chmurze (VPC) z listami kontroli dostępu do sieci (ACL), które uniemożliwiają nieautoryzowanym żądaniom dostęp do naszej wewnętrznej sieci.

Uprawnienia i Uwierzytelnianie

Dostęp do danych klientów mają tylko upoważnieni pracownicy, którzy potrzebują ich do wykonywania swojej pracy.

Szyfrowanie

Wszystkie dane są szyfrowane podczas transferu przy użyciu wysokiej klasy szyfrowania. Wszystkie punkty końcowe, czy to interfejsy, czy API, ograniczone są do dostępu HTTPS. Wymuszamy najlepsze praktyki, takie jak użycie TLS 1.3, HSTS i CAA, zawsze uzyskując najlepszy wynik w
teście Qualys SSL labs

Reakcja na Incydenty

Wprowadzamy protokół obsługi zdarzeń związanych z bezpieczeństwem, który obejmuje procedury eskalacji, szybkie działania zaradcze i analizę po zdarzeniu.

Odzyskiwanie danych po awarii, kopie zapasowe i monitorowanie

Mamy wdrożenie odzyskiwania danych w wielu regionach i bezpiecznego awaryjnego przełączania, zapewniające bezpieczeństwo danych klientów i wysoką dostępność. Monitorujemy wszystkie komponenty systemu i skutecznie reagujemy na pojawiające się problemy.

Funkcje Bezpieczeństwa Produktu

SSO

Shifton wspiera SSO oparte na OpenID dla dwóch najpopularniejszych dostawców

  • Microsoft Entra ID (dawniej Azure AD) – wspieranie zarówno kont osobistych, jak i biznesowych. Shifton jest zweryfikowanym partnerem Microsoft, a nasze rozwiązanie spełnia wszystkie najlepsze praktyki i jest dostępne do łatwej instalacji przez zespoły IT na
    Azure Marketplace
  • Konta Google Workspace, zarówno osobiste, jak i biznesowe

Uprawnienia

Shifton wdraża zaawansowany system RBAC i ma wiele wbudowanych ról dostępnych dla wszystkich klientów. W połączeniu z wielopoziomową hierarchią, umożliwia to ustawienie różnych drobnoziarnistych poziomów dostępu w aplikacji.

Hasła

Wszystkie hasła przechodzą jednokierunkowe haszowanie za pomocą biblioteki bcrypt i nigdy nie są przechowywane w postaci niezaszyfrowanej.

Funkcje Przedsiębiorstwa

Klienci korporacyjni mogą być uprawnieni do dodatkowych funkcji bezpieczeństwa, w tym

  • Dodatkowe role niestandardowe
  • Możliwość kontroli siły hasła
  • Możliwość kontroli możliwości logowania (login/hasło, Microsoft SSO, Google SSO)
  • Możliwość ograniczenia zaproszeń do określonych domen

Zobowiązanie Pracowników do Bezpieczeństwa

Polityki

Posiadamy surowe i jasne polityki dotyczące bezpieczeństwa i prywatności. Wszyscy pracownicy odbywają szkolenia, aby być zaznajomionym i na bieżąco z wszystkimi zmianami.

Poufność

Wszystkie umowy o pracę zawierają umowę o poufności.

Podprocesorzy

Jako nowoczesny produkt SaaS korzystamy z innych platform do wdrażania niektórych funkcji. Żaden z tych produktów i usług nie ma dostępu do danych klientów poza minimalnym zakresem wymaganym dla funkcjonalności.

Stripe

Używamy Stripe jako naszego procesora płatności. Szczegóły dotyczące ich bezpieczeństwa i zgodności z PCI można znaleźć na stronie
bezpieczeństwa Stripe.

Microsoft

Używane do SSO (Entra ID) i analityki strony internetowej

Google

Używane do analiz stron internetowych, dostarczania powiadomień push, platformy Maps i innych funkcji

Integracja z Crisp

Aby zapewnić bezpieczną i wygodną komunikację z naszymi klientami, używamy Crisp.chat — nowoczesnej platformy do czatu na żywo i wsparcia, która spełnia wysokie standardy bezpieczeństwa.

Możesz zapoznać się z praktykami bezpieczeństwa Crisp.chat.