Termly si impegna a soddisfare le esigenze di protezione e sicurezza dei dati dei propri clienti. Questa pagina fornisce un riepilogo delle nostre pratiche e politiche, che ci aiutano a mantenere le vostre informazioni personali sicure e protette. Ci impegniamo a fondo per garantire che i nostri sistemi e le nostre infrastrutture siano protetti da accessi non autorizzati o accidentali, perdita, alterazione, divulgazione o distruzione.
Autenticazione
È stata implementata una politica di password uniforme per i prodotti dei nostri clienti:
Forniamo anche opzioni di autenticazione SSO tramite Google, in modo che gli utenti possano abilitare l'autenticazione a più fattori utilizzando questi metodi.
I clienti che interagiscono con i Servizi Termly tramite l'interfaccia utente devono autenticarsi prima di poter accedere ai dati non pubblici dei clienti.
Autorizzazione
Conserviamo i dati dei clienti in sistemi di archiviazione sicuri. Gli utenti non possono accedere direttamente all'infrastruttura applicativa sottostante. l'accesso ai dati sensibili è basato sui ruoli (sulla base della "necessità di sapere"), solo per scopi specifici.
Separazione degli ambienti
Separiamo gli ambienti di sviluppo, di test e operativi per ridurre al minimo i rischi di accesso non autorizzato o di modifiche all'ambiente operativo.
Accesso dei dipendenti
Un numero limitato di dipendenti qualificati ha accesso ai dati dei clienti tramite interfacce controllate. Lo scopo dell'accesso dei dipendenti è quello di fornire un'assistenza efficiente ai clienti, individuare e rispondere agli incidenti di sicurezza, risolvere potenziali problemi e facilitare la sicurezza dei dati.
Ai dipendenti viene concesso l'accesso in base al ruolo e tutte le richieste di accesso vengono registrate. Solo alcuni dipendenti designati hanno accesso all'infrastruttura. I dipendenti Termly non hanno accesso fisico ai database dei clienti. Tutti i dipendenti ricevono una formazione sulla privacy e sulla sicurezza durante il processo di inserimento e come requisito per il proseguimento del rapporto di lavoro.
l'accesso ai dati critici e sensibili è basato sul ruolo (sulla base della "necessità di sapere"), solo ai fini dello svolgimento delle funzioni del servizio, e viene revocato immediatamente ai dipendenti che cessano di lavorare.
Sicurezza fisica e ambientale
l'infrastruttura dei nostri prodotti è ospitata da fornitori di infrastrutture in outsourcing multi-tenant. I loro controlli di sicurezza fisica e ambientale sono verificati in base a un'ampia serie di standard e normative di conformità.
Per ulteriori informazioni, consultare il sito https://aws.amazon.com/compliance/.
Elaborazione da parte di terzi
Per poter fornire ai nostri clienti il Servizio in conformità con il nostro DPA, intratteniamo rapporti contrattuali con i fornitori. Ciò include accordi contrattuali, politiche sulla privacy e programmi di conformità dei fornitori. I fornitori sono controllati per la conformità alla privacy e alla sicurezza durante il processo di valutazione dei fornitori.
Sicurezza di rete
I meccanismi di controllo dell'accesso alla rete sono progettati per impedire al traffico di rete che utilizza protocolli non autorizzati di raggiungere l'infrastruttura del prodotto. Le misure tecniche implementate variano a seconda dei fornitori di infrastrutture e comprendono implementazioni di Virtual Private Cloud (VPC), assegnazione di gruppi di sicurezza e regole di firewall tradizionali. Abbiamo implementato una soluzione di Web Application Firewall (WAF) per proteggere le applicazioni accessibili a Internet. Il WAF è progettato per identificare e prevenire gli attacchi contro i servizi di rete disponibili pubblicamente.
I dati vengono crittografati durante il trasferimento
Utilizziamo protocolli di crittografia sicuri e testati e disabilitiamo quelli obsoleti e vulnerabili. Tutti gli accessi al prodotto richiedono connessioni sicure.
Crittografia dei dati con password
I dati delle password vengono memorizzati come hash unidirezionale salato utilizzando algoritmi moderni.
Rilevamento
Abbiamo progettato la nostra infrastruttura per registrare ampie informazioni sul comportamento del sistema, sul traffico ricevuto, sull'autenticazione del sistema e su altre richieste di applicazione. I sistemi interni aggregano i dati di log e avvisano i dipendenti competenti di attività dannose, non intenzionali o anomale. Il nostro personale, compreso quello addetto alla sicurezza, alle operazioni e all'assistenza, reagisce agli incidenti noti.
Risposta e monitoraggio
Manteniamo un registro degli incidenti di sicurezza noti che include le descrizioni, le date e gli orari delle attività pertinenti e la disposizione dell'incidente. Gli incidenti di sicurezza sospetti e confermati vengono analizzati dal personale addetto alla sicurezza, alle operazioni o all'assistenza e vengono identificate e documentate le misure di risoluzione appropriate. In caso di incidenti confermati, adotteremo le misure appropriate per ridurre al minimo i danni al prodotto e al cliente o la divulgazione non autorizzata. Informeremo i nostri clienti in conformità con i termini di servizio.
Disponibilità dell'infrastruttura
Termly è ospitato su un'infrastruttura cloud AWS logicamente separata e distribuita. Quando l'infrastruttura AWS si guasta, si verificano eventi di downtime, ma sono poco frequenti e di solito limitati a una manciata di servizi specifici.
Tutti gli eventi di downtime del sistema e dell'infrastruttura vengono registrati e analizzati dai team dell'infrastruttura e del software e, in risposta a ciascun evento, vengono adottate misure adeguate e ragionevoli dal punto di vista commerciale. Lo stato attuale e gli incidenti recenti sono disponibili all'indirizzo https://status.termly.io/.
Termly utilizza servizi di protezione DDOS per prevenire i tempi di inattività dovuti ad attacchi denial-of-service malevoli.
Tolleranza ai guasti
Le strategie di backup e di replica sono progettate per garantire la ridondanza e le protezioni di fail-over in caso di guasto significativo dell'elaborazione. Il backup dei dati dei clienti viene eseguito su più archivi di dati durevoli e replicato in più zone di disponibilità.
Ridondanza e fail-over continuo
Le istanze del server e gli altri servizi che supportano i prodotti sono progettati con l'obiettivo di evitare singoli punti di guasto. Questo design aiuta le nostre operazioni a mantenere e aggiornare le applicazioni e il backend dei prodotti limitando i tempi di inattività.
Continuità aziendale
Termly mantiene politiche e procedure per garantire che Termly possa continuare a svolgere le funzioni business-critical a fronte di un evento straordinario. Ciò include procedure di resilienza dei centri dati e di ripristino in caso di disastro per i dati e le funzioni di elaborazione critiche per l'azienda.
Git viene utilizzato per il controllo di versione di repository privati e pubblici. Qualsiasi modifica al ramo principale richiede l'approvazione del team di ingegneri. Le modifiche al codice vengono testate utilizzando una suite di test manuali e automatici. Ciò include sia l'analisi statica del codice che l'esecuzione di suite di test unitari, funzionali e di integrazione sugli artefatti. I database delle vulnerabilità vengono regolarmente rivisti e valutati alla ricerca di nuove vulnerabilità per determinare se sono applicabili ai nostri sistemi/venditori.
A seguito del GDPR e del CCPA, Termly si impegna a prendere tutte le precauzioni del caso per preservare la privacy e la sicurezza dei dati e, in particolare, a proteggerli da qualsiasi distruzione accidentale o illecita, perdita accidentale, corruzione, circolazione o accesso non autorizzati, nonché da qualsiasi altra forma di trattamento illecito o divulgazione a persone non autorizzate. Oltre alla conformità normativa, per attestare l'impegno di Termlya soddisfare i rigorosi standard del settore, ci stiamo preparando per il processo di audit SOC2.