Musakerlin logotipas
Domain

Saugumo politika

Paskutinį kartą atnaujinta: 2024 m. lapkričio 14 d.

Ši saugumo politika aprašo, kaip Musakerlin (musakerlin.info) užtikrina platformos, jos naudotojų duomenų ir infrastruktūros saugumą. Mums svarbu, kad kiekvienas naudotojas galėtų naudotis paslaugomis saugiai ir patikimai.

1. Bendrosios nuostatos

Musakerlin imasi pagrįstų techninių ir organizacinių priemonių, siekdama apsaugoti platformą nuo neteisėtos prieigos, duomenų praradimo, atskleidimo ar sunaikinimo. Saugumo priemonės yra reguliariai peržiūrimos ir atnaujinamos atsižvelgiant į naujausius technologinius standartus ir grėsmių aplinką.

Ši politika taikoma visoms Musakerlin valdomoms sistemoms, tinklams, programinei įrangai ir duomenims, susijusiems su platformos veikla.

2. Infrastruktūros saugumas

2.1. Serverių apsauga

Platformos serveriai yra talpinami sertifikuotuose duomenų centruose, kurie atitinka aukštus fizinio ir loginio saugumo reikalavimus. Fizinė prieiga prie serverių yra griežtai kontroliuojama ir registruojama.

2.2. Tinklo saugumas

Naudojamos šios tinklo saugumo priemonės:

  • Ugniasienės (angl. firewall), ribojančios neleistiną tinklo srautą
  • Įsilaužimo aptikimo ir prevencijos sistemos
  • Reguliarus tinklo srauto stebėjimas ir analizė
  • Tinklo segmentavimas, siekiant izoliuoti kritinius komponentus

2.3. Duomenų šifravimas

Visi duomenys perduodami naudojant TLS (Transport Layer Security) šifravimo protokolą. Saugomi duomenys šifruojami naudojant šiuolaikinės pramonės standartinius algoritmus. Slaptažodžiai saugomi naudojant vienkryptę maišos funkciją su druska (angl. salted hash).

3. Prieigos kontrolė

3.1. Autentifikacija

Prieiga prie platformos užtikrinama per saugią autentifikacijos sistemą. Naudotojai raginami naudoti stiprius, unikalius slaptažodžius. Platforma palaiko daugiafaktorinę autentifikaciją (MFA), suteikiančią papildomą apsaugos lygmenį.

3.2. Mažiausių privilegijų principas

Vidinė prieiga prie sistemų suteikiama laikantis mažiausių privilegijų principo — darbuotojai turi prieigą tik prie tų sistemų ir duomenų, kurie būtini jų pareigų vykdymui. Visos prieigos teisės yra reguliariai peržiūrimos.

3.3. Sesijų valdymas

Neaktyvios naudotojo sesijos automatiškai nutraukiamos po nustatyto laiko. Sesijų žetonai generuojami naudojant kriptografiškai saugius atsitiktinius skaičius ir yra apsaugoti nuo pasisavinimo.

4. Programinės įrangos saugumas

4.1. Saugaus kodo kūrimas

Platforma kuriama laikantis saugaus programinės įrangos kūrimo gairių. Kodo pakeitimai prieš patalpinimą į produkcinę aplinką yra peržiūrimi ir testuojami. Naudojamos automatizuotos įrankių analizės, siekiant aptikti pažeidžiamumą ankstyvoje kūrimo stadijoje.

4.2. Trečiųjų šalių komponentai

Naudojamos trečiųjų šalių bibliotekos ir priklausomybės yra reguliariai stebimos dėl žinomų pažeidžiamumų. Saugos pataisymai (angl. patches) diegiami kuo greičiau po jų išleidimo.

4.3. Testavimas

Reguliariai atliekami šie saugumo testai:

  • Automatizuotas pažeidžiamumų skenavimas
  • Rankinis kodo saugos peržiūros
  • Skverbties testavimas (angl. penetration testing) pagal poreikį
  • Konfigūracijų atitikties patikrinimai

5. Duomenų saugumas

5.1. Duomenų klasifikacija

Duomenys klasifikuojami pagal jų jautrumą ir svarbą. Kiekvienos kategorijos duomenims taikomos atitinkamos apsaugos priemonės. Asmens duomenys tvarkomi laikantis taikytinų duomenų apsaugos reikalavimų, aprašytų Privatumo politikoje.

5.2. Atsarginės kopijos

Duomenų atsarginės kopijos daromos reguliariai pagal nustatytą grafiką. Atsarginės kopijos saugomos šifruotame pavidale atskiroje geografinėje vietoje. Atkūrimo procedūros yra periodiškai testuojamos, siekiant užtikrinti duomenų prieinamumą incidento atveju.

5.3. Duomenų sulaikymo laikotarpis

Duomenys saugomi ne ilgiau, nei tai būtina paslaugų teikimui ar taikytinų reikalavimų laikymuisi. Pasibaigus sulaikymo laikotarpiui, duomenys saugiai ištrinami arba anonimizuojami.

6. Incidentų valdymas

6.1. Incidentų aptikimas ir reagavimas

Veikia nuolatinė sistemų stebėsena, leidžianti anksti aptikti galimus saugumo incidentus. Incidentų reagavimo planas apibrėžia aiškias atsakomybes, komunikacijos kanalus ir veiksmus, kurių imamasi incidento atveju.

6.2. Pranešimas apie incidentus

Saugumo incidentų atveju, kurie gali paveikti naudotojų duomenis, naudotojai bus informuoti per pagrįstą laikotarpį laikantis taikytinų reikalavimų. Pranešimuose bus nurodyta incidento pobūdis, galimas poveikis ir siūlomos apsaugos priemonės.

6.3. Incidentų analizė

Po kiekvieno reikšmingo saugumo incidento atliekama jo analizė, siekiant nustatyti pagrindines priežastis ir užkirsti kelią panašiems incidentams ateityje. Gautos įžvalgos naudojamos tobulinant saugumo procesus ir kontrolės priemones.

7. Darbuotojų saugumas

7.1. Mokymai ir informuotumas

Visi darbuotojai, turintys prieigą prie sistemų ar duomenų, reguliariai mokomi saugumo temomis. Mokymai apima grėsmių atpažinimą, saugios prieigos praktikas ir incidentų pranešimo procedūras.

7.2. Konfidencialumo reikalavimai

Darbuotojai, prieš gaudami prieigą prie jautrių sistemų ar duomenų, pasirašo konfidencialumo susitarimus. Prieigos teisės nedelsiant panaikinamos, kai darbuotojo funkcijos pasikeičia arba darbo santykiai pasibaigia.

8. Tiekėjų ir trečiųjų šalių saugumas

Trečiųjų šalių paslaugų teikėjai, kurie tvarko Musakerlin duomenis arba turi prieigą prie platformos infrastruktūros, yra įpareigoti laikytis atitinkamų saugumo standartų. Prieš pradedant bendradarbiavimą atliekamas tiekėjų saugumo vertinimas. Sutartyse su tiekėjais numatyti aiškūs saugumo reikalavimai ir atsakomybės.

9. Fizinis saugumas

Fizinė prieiga prie biuro patalpų ir įrangos yra kontroliuojama. Darbo stotelės ir įrenginiai apsaugoti slaptažodžiais ir automatinio užrakinimo funkcijomis. Jautrūs dokumentai saugomi saugiai ir tinkamai sunaikinami, kai nebereikalingi.

10. Atitiktis ir auditas

Saugumo kontrolės priemonės reguliariai audituojamos vidaus arba išorės specialistų. Audito rezultatai naudojami saugumo programai tobulinti. Saugumo politika peržiūrima ne rečiau kaip kartą per metus arba esant reikšmingiems pokyčiams technologijų aplinkoje ar veiklos pobūdyje.

11. Pažeidžiamumų atskleidimas

Jei aptikote galimą saugumo pažeidžiamumą mūsų platformoje, prašome atsakingai apie tai pranešti. Susisiekite su mumis el. paštu [email protected] prieš viešai atskleidžiant informaciją. Mes įsipareigojame laiku išnagrinėti visus pranešimus ir informuoti pranešėją apie sprendimo eigą.

Prašome nepradėti jokių automatizuotų skenavimų ar testų be išankstinio raštiško sutikimo.

12. Politikos pakeitimai

Ši saugumo politika gali būti keičiama, siekiant atspindėti infrastruktūros, paslaugų ar taikytinų reikalavimų pokyčius. Reikšmingi pakeitimai bus komunikuojami naudotojams per platformą arba el. paštu. Tolimesnis platformos naudojimas po politikos pakeitimų reiškia susipažinimą su atnaujintu dokumentu.

13. Kontaktinė informacija

Klausimus, susijusius su šia saugumo politika, galite pateikti šiais kontaktais:

  • El. paštas: [email protected]
  • Telefonas: +37065530908
  • Adresas: Marijonų g. 49, Panevėžys 35120, Lithuania