Varnost podatkov in zaščita

Last updated: 10 aprila, 2025

Varnost jemljemo resno. In to ni le izjava, temveč način načrtovanja, razvoja in dostave našega izdelka.

Varnost podatkov in infrastrukture

Storitev in podatki Shifton so gostovani v regiji EU.

Izboljšane prakse za varnost podatkov v Shifton infrastrukturi

Vsi naši strežniki so v naši lastni virtualni zasebni oblaku (VPC) z omrežnimi kontrolnimi seznami za dostop (ACL), ki preprečujejo nepooblaščenim zahtevkom dostop do našega notranjega omrežja.

Dovoljenja in avtentikacija

Dostop do podatkov strank je omejen na pooblaščene zaposlene, ki jih potrebujejo za svoje delo.

Šifriranje

Vsi podatki so šifrirani med prenosom z visoko kakovostnim šifriranjem. Vse končne točke, bodisi vmesniki ali API-ji, so omejene na dostop preko HTTPS. Uveljavljamo najboljše prakse, kot so uporaba TLS 1.3, HSTS in CAA, vedno dosežemo najboljši rezultat pri
testu Qualys SSL labs

Odziv na incidente

Izvajamo protokol za obravnavo varnostnih dogodkov, ki vključuje postopke stopnjevanja, hitro ublažitev in post-mortem analizo.

Obnova po nesrečah, varnostne kopije in spremljanje

Imamo razmestitev z obnovitvijo in preusmeritvijo v več regijah, kar zagotavlja varnost podatkov strank in visoko razpoložljivost. Spremljamo vse komponente sistema in učinkovito reagiramo na težave, ki se pojavijo.

Varnostne funkcije izdelka

SSO

Shifton podpira odprtokodno SSO za dva najbolj priljubljena ponudnika

- Microsoft Entra ID (prej, Azure AD) – podpira osebne in poslovne račune. Shifton je preverjen partner Microsofta in naša rešitev upošteva vse najboljše prakse in je na voljo za enostavno namestitev s strani IT ekip na

Azure Marketplace

Google računi za delovno okolje, tako osebni kot poslovni

Dovoljenja

Shifton izvaja sofisticiran sistem RBAC in ima več vgrajenih vlog, ki so na voljo vsem strankam. V kombinaciji z večstopenjsko hierarhijo omogoča nastavitev različnih podrobno določenih ravni dostopa.

Gesla

Vsa gesla preidejo enosmerno zgoščevanje s knjižnico bcrypt in nikoli niso shranjena v navadnem besedilu.

Lastnosti za podjetja

Podjetniške stranke so lahko upravičene do dodatnih varnostnih funkcij, med njimi

Dodatne prilagojene vloge
Sposobnost nadzora nad močjo gesel
Sposobnost nadzora prijavnih možnosti (prijava/geslo, Microsoft SSO, Google SSO)
Sposobnost omejitve povabila na določene domene

Prizadevanje zaposlenih za varnost

Politike

Imamo stroge in jasne politike glede varnosti in zasebnosti. Vsi zaposleni opravijo usposabljanja, da so seznanjeni in posodobljeni z vsemi spremembami.

Zaupnost

Vse pogodbe z zaposlenimi vključujejo dogovor o zaupnosti.

Podprocesorji

Kot vsak sodobni SaaS izdelek uporabljamo druge platforme za izvajanje nekaterih funkcij. Noben od teh izdelkov in storitev nima dostopa do podatkov strank, razen minimalne količine, potrebne za delovanje.

Stripe

Stripe uporabljamo kot našega plačilnega procesorja. Podrobnosti o njihovi varnosti in skladnosti s PCI najdete na Stripi strani
varnosti.

Microsoft

Uporablja se za SSO (Entra ID) in analitiko spletne strani.

Google

Uporablja se za analitiko spletne strani, SSO, dostavo potisnih obvestil, platformo Maps in druge funkcije.

Integracija s Crisp

Da zagotovimo varno in priročno komunikacijo z našimi strankami, uporabljamo Crisp.chat — sodoben platformo za živo klepetanje in podporo, ki izpolnjuje visoke varnostne standarde.

Pregledate lahko varnostne prakse Crisp.chat.