Przegląd Bezpieczeństwa

Jesteśmy dumni z naszych standardów bezpieczeństwa, jako że dane stały się najważniejszą wartością XXI wieku.

Wprowadzenie

Doceniamy, że zaufałeś User.com w kwestii zbierania i kolektywizowania ważnych dla ciebie danych. Chcemy Cię zapewnić, że wszystkie informacje są poufne i bezpieczne. W tej sekcji, naszym celem jest przejrzyste zaprezentowanie sposobów, w jakie przechowujemy i ochraniamy Twoje dane. Obiecujemy, że będziemy aktualizować stronę w celu dodania nowych środków bezpieczeństwa oraz udoskonaleń w User.com. Wszystko po to by Twoje dane były bezpieczne.

Program Bezpieczeństwa

Bezpieczeństwo stanowi priorytet dla User.com, ponieważ jesteśmy świadomi jak ważne są informacje, które przechowujesz w naszym serwisie. Posiadamy program bezpieczeństwa, który skoncentrowany jest na ochronie produktu, fizycznej i internetowej infrastruktury, polityki i zasad, świadomości pracowników, wykrywaniu zagrożeń oraz ocenie działań.

Wszyscy pracownicy są zaznajomieni z programem, który wykrywa podejrzaną aktywność w serwisie. Pozwala on na przedsięwzięcie natychmiastowego działania w kwestii bezpieczeństwa oraz pozwala na stworzenie nowych sposobów wykrywania potencjalnych ataków na aktywa, znajdujące się w serwisie.

Ocena bezpieczeństwa naszej infrastruktury przeprowadzana jest regularnie w celu wykrycia nieścisłości i niedoskonałości. Zespół odpowiadający za Bezpieczeństwo User.com, bez wytchnienia pracuje nad narzędziami, pozwalającymi na polepszenie ochrony serwisu.

Bezpieczeństwo Sieci

Load balancers, firewalls oraz VPNs są używane w celu ochrony User.com. Połączenie tych narzędzie pozwala na kontrolowanie, które usługi są transparentne i oddzielić naszą sieć produktową od infrastruktury komputerowej jako całości. Dostęp do sieci produktowej jest możliwe jeżeli spełnione zostają nasze wymagania biznesowe i związane z autoryzacją.

User.com jest chroniony przez DDoS (on-demand mitigation service against distributed denial of service).

Bezpieczeństwo Profilu

Twoje hasło nie jest nigdy przechowywanie jako tekst otwarty. Używamy PBKDF2 (Password Based Key Derivation Function 2), gdzie każdy klucz uwierzytelnienia otrzymuje unikalne ID. Numer nowej interakcji jest wybierany w taki sposób by zaszyfrować hasło użytkownika tak by był w pełni zadowolony z dostarczonych mu środków bezpieczeństwa.

Nigdy nie wymagamy od Ciebie skomplikowane hasła, a wskaźnik hasła nigdy nie poprosi Cię o wprowadzenie trudniejszego. Ataki oparte na zgadywaniu hasła są rozwiązywanie poprzez ograniczenie nieudanych prób zalogowania na podstawie danego konta bądź adresu IP.

Dwustopniowa weryfikacja (2SV) jest gwarantowana dla każdego konta, wraz z algorytmem TOTP. Użytkownicy mający konto premium, mogą wygenerować kody lokalnie poprzez użycie aplikacji na telefonie przez wiadomość sms.

Bezpieczeństwo Email

Aby chronić naszych użytkowników przed złośliwymi treściami, gwarantujemy skanowanie wszystkich wiadomości e-mail otrzymanych za pomocą komercyjnego skanowania antywirusowego.

W celu ochrony naszych użytkowników przed szkodliwą zawartością, gwarantujemy, że skanujemy wszystkie maile otrzymane przy użyciu komercyjnego antywirusowego programu skanującego.
Po otrzymaniu e-maila od User.com, chcemy mieć pewność , że nadawcą jest zawsze User.com. To zawsze jest uzasadnione, ponieważ kierujemy się polityką DMARC, aby pozwolić Ci spać spokojnie i nie martwić się o kwestie bezpieczeństwa e-mail. Każdy e-mail wysyłany jest z @user.com, co pozwala nam, aby ma jego kryptograficzne podpisanie przy użyciu DKIM, pochodzący z adresu IP, który jest opublikowany w naszym rekordzie SPF.

Bezpieczeństwo Produktu

Ochrona Twoich danych jest dla nas najwyższym priorytetem, dlatego ochrona naszego serwisu jest kluczowa. Zespół ds. bezpieczeństwa nieustannie pracuje nad udoskonaleniem mechanizmów bezpieczeństwa, m.in CSRF, XSS, SQLi, zarządzanie sesją, przekierowywanie URL oraz clickjacking.

Każdy użytkownik partii trzecich zostanie uwierzytelniony poprzez OAuth, co umożliwia połączenia zewnętrznego użytkownika bez konieczności dzielenia się uwierzytelnieniami logowania. Jeżeli autoryzacja do User.com zakończona jest sukcesem, token jest zwracany użytkownikowi, aby móc potwierdzić jego dostęp od danego momentu. Pozwala to na wyeliminowanie potrzeby aplikacji postronnych do posiadania dostępu do loginu i hasła na określonym urządzeniu.

Segmentacja Użytkowników

Twoje dane nie są oddzielone od danych innych użytkowników, ponieważ mogą być przechowywane na tych samych serwerach. Tylko Ty masz dostęp do tych danych, jeżeli nie udzielisz nikomu więcej na to zgody. Zajrzyj do Bezpieczeństwa Produktu by dowiedzieć się o sposobach w jakich używamy modelu autoryzacji w kwestii dostępu do prywatnych i publicznych treści.

Usuwanie i Niszczenie Mediów

User.com gwarantuje Ci, że wszystkie dane przechowywane w serwisie nigdy nie zostaną udostępnione poza serwis. Przeprowadzamy wszystkie potrzebne działania w celu zniszczenia mediów (komputery, serwery) poprzez fizyczne ich zniszczenie przed zutylizowaniem.

Customer Success

W związku z tym, że jesteśmy serwisem "w chmurze", User.com udostępnia narzędzie administratora, co pozwala naszym klientom serwisu na samodzielne zarządzanie sprawami związanymi z użytkownikami. Jednak, liczba pracowników, mających dostęp do panelu administratora, jest ograniczona.

Logowanie Aktywności

Server-side logging w kwestii interakcji z użytkownikami jest obecne na User.com. Polega to na dostępie do serwera i aktywnemu logowaniu (poprzez API). Logowania zakończone sukcesem i te nieudane, zawarte są w tych logach.

Szyfrowanie

Twoje dane, które są transportowane są chronione poprzez kodowanie, takie jak TLS, SSL. User.com jest kompatybilny z HTTP Strict Transport Security (HSTS) dla każdego serwisu. Wszystkie protokoły pracują w ten sposób by zapewnić silną barierę ochronną dla użytkowników.

User.com jest kompatybilny z STARTTLS dla wewnętrznych i zewnętrznych kanałów email. Jeżeli TLS jest respektowana przez Twojego usługodawcę email, wiadomości będą zakodowane (do i z User.com)

Dostępnośc

Naszym głównym celem jest danie Ci wszystkiego tego, co mamy w UserEngage najlepsze tak, byś mógł w pełni angażować swoich użytkowników. 24/7. W rezultacie, posiadamy system odporny na błędy poprzez:

- Zróżnicowane połączenia Internetowe.
- Przełączniki, routery, load balancers oraz firewalle.
- Niezależne struktury, obsługujące niewielką część bazy użytkowników User.com (system skalowalny)
- Zapasowe serwery, które zapewniają wsparcie w momencie pojawienia się jakichkolwiek problemów.
- Dodatkowe zasilanie serwerów; zapasowe dyski twarde; konfigurację RAID do przechowywania danych.

Odporny na uszkodzenia system obiektu. w tym: zasilanie, HVAC i ochrona przeciwpożarowa. Wszystkie aktualizacje dostępne na https://twitter.com/userengage_io

Gwarantujemy, że ochraniamy dane naszych użytkowników poprzez monitorowanie całej sieci i tworzenie backup'ów. Jeżeli nastąpi wyłączenie serwerów podstawowych, jesteśmy w stanie bardzo szybko odzyskać wszystkie dane. Nie pozbywamy się i nie niszczymy żadnego rodzaju mediów (urządzeń) w kwestii backup'u.

Bezpieczeństwo Fizyczne

Każde centrum danych poddane jest audytowi SOC-1 Type 2, który poświadcza o fizycznej zdolności ochrony naszego serwisu. Tylko User.com i usługodawcy centrów danych mają fizyczny dostęp do tej infrastruktury. Wszystkie dane User.com są przechowywane w USA, Kanadzie, Francji i Singapurze.