TimeTec уделяет серьезное внимание вопросам безопасности, и исследует все уязвимости. Эта страница объясняет практику TimeTec в решении для потенциальных уязвимостей в аспектах наших облачных сервисов.
ISO 27001
ISO 27001 – это стандарт управления безопасностью, формулирующий рекомендации по управлению безопасностью и характеризующий комплексные элементы контроля безопасности в соответствии с руководством по соблюдению рекомендаций ISO 27002. В основе этой сертификации лежит разработка и внедрение строгой программы обеспечения безопасности, которая включает в себя разработку и внедрение системы управления информационной безопасностью (ISMS), определяющей непрерывный, целостный и всеобъемлющий процесс управления безопасностью в TimeTec. Этот широко признанный международный стандарт безопасности требует выполнения следующих условий:
• |
систематической оценки рисков информационной безопасности с учетом влияния угроз и уязвимостей. |
|
|
• |
проектирования и внедрения комплексного пакета средств управления информационной безопасностью и других форм управления рисками, связанными с рисками безопасности компании и архитектуры систем. |
|
|
• |
внедрения всеобъемлющего процесса управления, гарантирующего постоянное соответствие средств управления информационной безопасностью потребностям, связанным с информационной безопасностью. |
8 марта 2018 года Компания успешно получила Систему управления информационной безопасностью ISO / IEC (ISMS).
Использование 2-фактора аутентификации (2FA) в TimeTec
Для повышения уровня безопасности мы рекомендуем вам настроить 2-фактор аутентификации (2FA), чтобы помочь защитить ваши TimeTec счета. 2FA добавляет дополнительную безопасность, поскольку она требует от пользователей ввести уникальный код аутентификации с помощью проверенного устройства аутентификации. Стремясь предоставить нашим пользователям спокойствие, мы работаем с известным поставщиком третьей стороны - Google Authenticator для повышения уровня безопасности вашей учетной записи TimeTec. Эта функция аутентификации 2-фактор, безусловно, повышает уровень безопасности, поскольку подписание в потребует 2 вещи - код, сгенерированный мобильным приложением Google Authenticator в дополнение к вашей учетной записи пароля.
HTTPS:
Все коммуникации в и из нашей TimeTec облачной платформы осуществляется через протокол HTTPS. «Протокол передачи гипертекста Secure (HTTPS) представляет собой коммуникационный протокол для защищенной связи через компьютерную сеть, причем особенно широкое развертывание в Интернете. »
Amazon AWS:
В стремлении обеспечить все ваши данные сохраняются в безопасности, мы используем один из лучших имен в сервере и облачных вычислений, Amazon AWS PaaS, «Платформа как услуга ». С технической точки зрения, мы защищаем наши данные со следующими службами безопасности.
TimeTec использует услуги AWS, которые являются ISO 27001 и PCI DSS L1 Certified:
• Amazon Web Services Elastic Compute Cloud (EC2)
• Amazon Web Services Simple Storage Service (S3)
• Amazon Web Services Relational Database Service (RDS)
• Amazon Web Services Elastic Load Balancing (УЗО)
• Amazon Web Services Управление идентификацией и доступом (IAM)
• Amazon Web Services Elastic Block Storage (EBS)
• Amazon Web Services Простой сервис электронной почты (SES)
• Amazon Web Services CloudFront
• Amazon Web Services Route 53
• Amazon Web Services CloudWatch + Amazon Simple Notification Service (SNS)
• Amazon Web Services VPC
• Amazon Web Services Shield Стандарт для защиты от DDoS-атак
Как сообщить об уязвимостях
Сообщение о потенциальных уязвимостях
Если вы подозреваете , что TimeTec ресурсы используются для подозрительной активности, вы можете сообщить об этом нам здесь. Так что мы можем эффективно реагировать на ваш доклад, просьба представить любую вспомогательный материал, который был бы полезным, помогая нам понять природу и серьезность уязвимости.
Вся информация, что вы разделяете с TimeTec как в этом процессе остается конфиденциальной в TimeTec команде и не будут переданы третьим лицам без Вашего разрешения.
TimeTec рассмотрит представленный доклад, мы будем отвечать вам, подтвердив получение доклада, а также наметить дальнейшие шаги в этом процессе.
Оценка По TimeTec
TimeTec будет работать, чтобы проверить уязвимость, после того, как отчет будет получен. Если требуется дополнительная информация для проверки или имитации проблемы, TimeTec будет работать с вами, чтобы получить его. Когда первоначальное расследование завершено, результаты будут доставлены к вам вместе с планом урегулирования и публичного раскрытия.
Вещи, чтобы отметить о процессе TimeTec оценки: |
1. |
Продукты сторонних производителей - Если уязвимость найдена повлиять на продукт третьей стороны, TimeTec уведомляет участвующая сторона. Мы будем продолжать координировать между вами и третьей стороной; Ваша личность не будет раскрыта третьим лицам без вашего разрешения. |
|
|
2. |
Подтверждение Non-Уязвимости - Если проблема не может быть подтверждено или не установлено, что недостаток в продукте TimeTec, мы будем делиться информацией с вами. |
|
|
|
TimeTec хочет держать вас в курсе нашего прогресса, как мы проводим расследование и / или смягчить вашу сообщили проблемы безопасности. Вы получите Неавтоматизированная ответ на ваш первоначальный контакт в течение 24 часов, что подтверждает получение вашей уязвимости сообщили. Вы будете получать информацию о ходе работ от нас по крайней мере каждые пять рабочих дней. |
Уведомление общественности
Если это применимо, TimeTec будет координировать уведомление общественности о проверенного уязвимости с вами. Мы предпочли бы, чтобы наши соответствующие общественные раскрытия будут размещены одновременно.
Для того, чтобы защитить наших клиентов, TimeTec просит ваше сотрудничество, чтобы не размещать или поделиться какой-либо информации о потенциальной уязвимости в любом общественном месте, пока мы не исследовали, ответил на, и обратился к уязвимости и сообщили информированные клиентов, если это необходимо.
Мы также с уважением просим от вас воздержаться от размещения или распространения любых данных, относящихся к нашим клиентам. Обращаясь действительную уязвимость является довольно длительным процессом, и она будет варьироваться в зависимости от серьезности уязвимости и пораженных систем.