Bezpieczeństwo
Last updated: 10 kwietnia, 2025
Poważnie podchodzimy do bezpieczeństwa. I nie jest to tylko stwierdzenie, ale sposób, w jaki planujemy, rozwijamy i dostarczamy nasz produkt.
Bezpieczeństwo Infrastruktur
Usługi i dane Shifton są hostowane w regionie UE
Sieć
Wszystkie nasze serwery znajdują się we własnej prywatnej chmurze (VPC) z listami kontroli dostępu do sieci (ACL), które uniemożliwiają nieautoryzowanym żądaniom dostęp do naszej wewnętrznej sieci.
Uprawnienia i Uwierzytelnianie
Dostęp do danych klientów mają tylko upoważnieni pracownicy, którzy potrzebują ich do wykonywania swojej pracy.
Szyfrowanie
Wszystkie dane są szyfrowane podczas transferu przy użyciu wysokiej klasy szyfrowania. Wszystkie punkty końcowe, czy to interfejsy, czy API, ograniczone są do dostępu HTTPS. Wymuszamy najlepsze praktyki, takie jak użycie TLS 1.3, HSTS i CAA, zawsze uzyskując najlepszy wynik w
teście Qualys SSL labs
Reakcja na Incydenty
Wprowadzamy protokół obsługi zdarzeń związanych z bezpieczeństwem, który obejmuje procedury eskalacji, szybkie działania zaradcze i analizę po zdarzeniu.
Odzyskiwanie danych po awarii, kopie zapasowe i monitorowanie
Mamy wdrożenie odzyskiwania danych w wielu regionach i bezpiecznego awaryjnego przełączania, zapewniające bezpieczeństwo danych klientów i wysoką dostępność. Monitorujemy wszystkie komponenty systemu i skutecznie reagujemy na pojawiające się problemy.
Funkcje Bezpieczeństwa Produktu
SSO
Shifton wspiera SSO oparte na OpenID dla dwóch najpopularniejszych dostawców
- Microsoft Entra ID (dawniej Azure AD) – wspieranie zarówno kont osobistych, jak i biznesowych. Shifton jest zweryfikowanym partnerem Microsoft, a nasze rozwiązanie spełnia wszystkie najlepsze praktyki i jest dostępne do łatwej instalacji przez zespoły IT na
Azure Marketplace - Konta Google Workspace, zarówno osobiste, jak i biznesowe
Uprawnienia
Shifton wdraża zaawansowany system RBAC i ma wiele wbudowanych ról dostępnych dla wszystkich klientów. W połączeniu z wielopoziomową hierarchią, umożliwia to ustawienie różnych drobnoziarnistych poziomów dostępu w aplikacji.
Hasła
Wszystkie hasła przechodzą jednokierunkowe haszowanie za pomocą biblioteki bcrypt i nigdy nie są przechowywane w postaci niezaszyfrowanej.
Funkcje Przedsiębiorstwa
Klienci korporacyjni mogą być uprawnieni do dodatkowych funkcji bezpieczeństwa, w tym
- Dodatkowe role niestandardowe
- Możliwość kontroli siły hasła
- Możliwość kontroli możliwości logowania (login/hasło, Microsoft SSO, Google SSO)
- Możliwość ograniczenia zaproszeń do określonych domen
Zobowiązanie Pracowników do Bezpieczeństwa
Polityki
Posiadamy surowe i jasne polityki dotyczące bezpieczeństwa i prywatności. Wszyscy pracownicy odbywają szkolenia, aby być zaznajomionym i na bieżąco z wszystkimi zmianami.
Poufność
Wszystkie umowy o pracę zawierają umowę o poufności.
Podprocesorzy
Jako nowoczesny produkt SaaS korzystamy z innych platform do wdrażania niektórych funkcji. Żaden z tych produktów i usług nie ma dostępu do danych klientów poza minimalnym zakresem wymaganym dla funkcjonalności.
Stripe
Używamy Stripe jako naszego procesora płatności. Szczegóły dotyczące ich bezpieczeństwa i zgodności z PCI można znaleźć na stronie
bezpieczeństwa Stripe.
Microsoft
Używane do SSO (Entra ID) i analityki strony internetowej
Używane do analiz stron internetowych, dostarczania powiadomień push, platformy Maps i innych funkcji
Integracja z Crisp
Aby zapewnić bezpieczną i wygodną komunikację z naszymi klientami, używamy Crisp.chat — nowoczesnej platformy do czatu na żywo i wsparcia, która spełnia wysokie standardy bezpieczeństwa.
Możesz zapoznać się z praktykami bezpieczeństwa Crisp.chat.