Безопасность
на всех уровнях

Creatio обеспечивает наивысшую степень безопасности
и конфиденциальности накопленных данных, поддерживая ее на уровне
сети и приложения, а также на физическом уровне доступа

Безопасность доступа и сети

Комплексная многоуровневая защита Creatio
позволяет отслеживать все операции и события в сети,
при этом безопасность каждого уровня контролируется отдельно.

Мониторинг сетевого трафика предотвращает попытки несанкционированного доступа
и обеспечивает дополнительную защиту системы от DDoS-атак.

Системы сетевого мониторинга (брандмауэры, SIEM, IPS / IDS и т.п.) обеспечивают устойчивость к атакам
и постоянный контроль в режиме реального времени, а также пресекают подозрительные действия
еще на сетевом уровне.

Контроль подключений на уровне приложения и баз данных позволяет изолировать, фильтровать и управлять законными подключениями в рамках интеграционных процессов.

Сеть Creatio защищена
с использованием нескольких протоколов безопасности
для предотвращения неавторизованного доступа:
HTTPS (TLS 1.2), TCP/IP и пр.

Уникальный ID и пароль пользователя, а также все передаваемые данные шифруются 128-битным ключом, который гарантирует безопасность хранения, обработки и передачи информации.

Коммутаторы и брандмауэры размещены на каждом уровне,
что позволяет устанавливать персональные политики безопасности (ограничение доступа по IP, типам устройств, доменам, географии и т.п.)
и контролировать доступ к приложению.

Физическая безопасность

Физический доступ к дата-центрам одобрен
и проверен сотрудниками авторизованных хостинг-провайдеров.

Данные Creatio хранятся в географически разных точках на профессионально оборудованных хостинг-площадках,
исключающих несанкционированный доступ к серверам. Автономные источники питания и высококлассные системы защиты
обеспечивают полную сохранность данных и бесперебойную работу дата-центра в режиме 24/7. Инфраструктура хранения данных позволяет выполнять регулярное архивирование критически важной информации и безопасное резервное копирование данных.

Центры обработки данных соответствуют международным отраслевым стандартам,
включая GDPR, ISO 27001, HIPAA, FedRAMP, SOC 1, SOC 2.

Защита на уровне приложения

Отдельная база данных

В отличие от других облачных решений, которые хранят информацию разных заказчиков в единой базе данных, приложения Creatio имеют отдельную базу данных
для каждого клиента. Это делает невозможным получение доступа к информации компании другим клиентам, использующим приложение. В дополнение к этому,
данные в Creatio хранятся в зашифрованном виде.

Поддержка единой авторизации

Использование технологии единого входа WebSSO упрощает аутентификацию пользователей, а также предоставляет возможность быстро и безопасно встраивать Creatio в информационную среду предприятия. А поддержка распространенного стандарта SAML 2.0 обеспечивает подключение наиболее часто используемых провайдеров аутентификации.

Защита пароля

Расширенные инструменты позволяют системному администратору устанавливать необходимую сложность пароля, лимитировать количество попыток входа и срок действия пароля для учетных записей. Пароли хешируются
с использованием соли и шифруются с учетом требований OWASP.

Роли и разрешения

Гибкая многоуровневая система администрирования Creatio позволяет выстроить иерархию ролей
как с учетом организационной структуры предприятия
и позиции сотрудников в этой структуре, так и с учетом функциональных ролей пользователей. При этом набор правил может быть определен не только для ролей,
но и для отдельных пользователей системы.

Права доступа

Creatio способна реализовать любые требования
по разграничению доступа к данным и операциям
в системе: от полного доступа к отдельным разделам
для всех пользователей до полного запрета
со специальными разрешениями для некоторых ролей. Поддерживается администрирование по объектам,
записям и колонкам, с возможностью ограничить доступ
на чтение, изменение и удаление данных.

Журнал аудита

Системный журнал протоколирует критически важные операции, предоставляя администраторам и специалистам по информационной безопасности полные сведения
о передаче прав на объекты, изменениях в структуре ролей
и уровнях доступа, удачных и неудачных попытках авторизации, изменениях в системных настройках
и многом другом.

Внешний контроль безопасности

Программные продукты Creatio проходят ежегодную экспертизу для подтверждения соответствия требованиям
международных стандартов. Помимо этого, мы используем внешние программные и аппаратные средства,
а также услуги мониторинга для обеспечения безопасности на всех уровнях процесса.

Соответствие
стандартам

Обеспечение безопасности программных средств и процессов компании реализовано согласно лучшим мировым практикам и неоднократно проверено независимыми экспертами, о чем свидетельствует сертификат соответствия ISO / IEC 27001: 2013, выданный службе облачных сервисов и программному обеспечению Creatio. Кроме того, Creatio соответствует требованиям облачной безопасности HIPAA, регламенту GDPR и положениям 152-ФЗ.

Сканеры
уязвимости

Creatio разрабатывается в соответствии с «Политиками безопасной разработки программного обеспечения», требования которых применяются к каждому выпуску новой версии продукта на этапе предварительного тестирования. Для диагностики возможных проблем с безопасностью в Creatio используется специализированное ПО.

Обучение
и контроль процессов

В соответствии с требованиями ISO 27001 проводятся регулярные тренинги и тесты. Некоторые из тем, охваченных в программе обучения сотрудников, включают: обзор политики информационной безопасности компании, правила построения безопасности, общие рабочие процедуры и правила взаимодействия между подразделениями и др.

Внешний аудит

Программные продукты Creatio проходят регулярный контроль соответствия, а также внешнее сканирование и тестирование защиты с использованием различных сторонних инструментов.
Это гарантирует отсутствие критических уязвимостей, которые могли бы повлиять
на конфиденциальность, целостность или доступность веб-приложения.

Тестирование
на проникновение

Террасофт проводит периодические внутренние и внешние тесты на проникновение для сети и программного обеспечения с доступом в интернет. Все программные средства проходят систематическое тестирование на проникновение с привлечением отраслевых экспертов. Методология оценки безопасности приложений структурирована по категориям на основе OWASP Testing Guide.