ClientFlow
Turvallisuus ensin

Turvallisuus

Tietoturvasi on meille tärkein asia. Käytämme alan standardien mukaisia tietoturvatoimia suojellaksemme liiketoimintaasi ja asiakkaidesi tietoja. Kaikki data sijaitsee Saksassa Euroopan unionin sisällä Hetznerin infrastruktuurissa.

Active
Monitoring
<72h
Tietoturvailmoitus
TLS 1.3
Siirtosalaus
GDPR
Vaatimustenmukaisuus

Tietosuoja

Salaus levossa

Salattu

Tietokantavolyymit on salattu levossa infrastruktuuritasolla. Arkaluonteiset tunnistetiedot ja maksutokenit salataan lisäksi sovellustasolla ennen tallennusta.

Salaus siirrossa

TLS 1.3

Kaikki selaimesi ja palvelimiemme välillä siirretty data salataan käyttäen TLS 1.3:a ja nykyaikaisia salauspaketteja.

OAuth 2.0 -tunnistautuminen

OAuth 2.0

Käytämme alan standardin mukaista OAuth 2.0:aa Googlen, Facebookin ja Applen kanssa turvalliseen tunnistautumiseen. Salasanoja ei tallenneta.

JWT-tokenien turvallisuus

Rotaatio

Pääsytokenit vanhenevat 1 tunnin kuluttua. Päivitystokenit rotatoidaan jokaisella käytöllä ja ne voidaan perua välittömästi.

Infrastruktuurin turvallisuus

ISO 27001 (DC)

Isännöity Hetznerillä Saksassa. Hetznerin konesalit on ISO 27001 -sertifioitu ja ne tarjoavat yritystason fyysistä turvallisuutta ja DDoS-suojauksen verkon reunalla.

Tietokannan varmuuskopiot

Varmuuskopiot

PostgreSQL-varmuuskopiot otetaan ennen jokaista tuotantojulkaisua ja migraatiota. Varmuuskopiot säilytetään suojatuilla volyymeillä ja ne pidetään nopeaa palautumista varten.

Turvallisuuskäytännöt

Virheiden seuranta

Sovellusvirheet ja epäonnistuneet tunnistautumisyritykset kirjataan ja niitä seurataan Sentryn kautta poikkeamien varhaiseksi havaitsemiseksi.

Säännölliset päivitykset

Riippuvuuksia ja järjestelmiä päivitetään säännöllisesti turva-aukkojen korjaamiseksi ja hyvien käytäntöjen ylläpitämiseksi.

Käyttöoikeuksien hallinta

Käyttäjäkohtainen tietojen eristäminen ja roolipohjainen pääsynhallinta (RBAC) varmistavat, että tiimin jäsenet pääsevät käsiksi vain rooliensa edellyttämiin tietoihin.

Sisäinen koodikatselmointi

Koodimuutokset käyvät läpi sisäisen turvallisuuskatselmoinnin automatisoitujen työkalujen kanssa (Bandit, riippuvuusskannaus) ennen julkaisua.

Vaatimustenmukaisuus ja sertifioinnit

GDPR-yhteensopiva

  • Tietojenkäsittelysopimukset
  • Oikeus pääsyyn ja poistoon
  • Tietojen siirrettävyys
  • Tietoturvailmoitus

PCI DSS

  • Turvallinen maksujenkäsittely iyzicon kautta
  • Korttitietoja ei tallenneta
  • Tokenisoidut maksutapahtumat
  • Petossuojaus

Tapahtumien käsittely

Sitoumuksemme

Epätodennäköisessä turvallisuustapahtumassa, joka vaikuttaa tietoihisi, sitoudumme:

  • Ilmoittamaan asianosaisille käyttäjille 72 tunnin kuluessa havaitsemisesta
  • Antamaan selkeät tiedot vaikutusalueesta
  • Ryhtymään välittömiin toimiin tapahtuman rajaamiseksi ja korjaamiseksi
  • Suorittamaan perusteelliset jälkitarkastukset

Ilmoita haavoittuvuudesta

Arvostamme vastuullista ilmoittamista. Jos löydät turvallisuushaavoittuvuuden, ilmoita siitä osoitteeseen contact@clientflow.center

Vahvistamme vastaanoton 24 tunnin kuluessa ja työskentelemme kanssasi ongelman ymmärtämiseksi ja ratkaisemiseksi pikaisesti.

Liittyvät asiakirjat

TietosuojakäytäntöTietojenkäsittelysopimusKäyttöehdot