Безопасность и конфиденциальность

Повышенные требования к ИТ-безопасности — не просто норма для многих из наших заказчиков, но и один из ключевых критериев при выборе подрядчика и формировании условий SLA (соглашения об уровне обслуживания).

Организационные механизмы

Один из первых вопросов, который возникает у наших потенциальных клиентов, справедливо касается конфиденциальности данных. Доверяя свою ИТ-инфраструктуру сторонним специалистам, любой руководитель рискует потенциальной возможностью утечки важных данных.

Во избежание подобных проблем мы предпринимаем комплекс мер:

  1. В договоре на обслуживание, заключаемым между «Флантом» и вашей компанией, есть отдельная глава, посвященная вопросам конфиденциальности. В ней на юридическом уровне фиксируются гарантии по неразглашению сведений конфиденциального характера и обеспечению всех необходимых мер для этого. Разумеется, мы всегда готовы рассмотреть ваши требования и пожелания по внесению изменений в эту главу при заключении договора.
  2. С сотрудниками «Фланта» подписаны дополнительные договоры о неразглашении, запрещающие им распространять любую конфиденциальную информацию клиентов под угрозой несения ответственности по 138 и 183 статьям УК РФ («Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений» и «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»).
  3. Доступ к конфиденциальной информации заказчиков получают не все сотрудники «Фланта», а лишь ограниченный список. Этот список утверждается в соответствии с пожеланиями заказчика.

Стоит отметить, что практика принятия определенных соглашений о неразглашении (NDA) между двумя компаниями является общепринятой в современном бизнесе. В этом смысле сотрудничество двух компаний подобно взаимодействию сотрудника и компании, и регулируется оно по аналогии.

Технические принципы

Следуя запросам и актуальным реалиям рынка, в 2016 году мы внедрили Okta в качестве IDaaS (Identity-as-a-Service) — SAAS-платформы, которая хранит учетные записи пользователей и предоставляет сервис аутентификации по таким протоколам, как SAML и OAuth.

Внедрение сначала затронуло только наших сотрудников, а в дальнейшем было произведено и на уровне взаимодействия с заказчиками. Его цель — уменьшить риск возможного взлома используемого программного обеспечения.

В самых ответственных информационных системах (где хранятся важные данные) мы также применяем аутентификацию по SMS, создавая дополнительный слой защиты, который не зависит от IDaaS-провайдера.

Почему Okta?

Okta — независимый сторонний поставщик услуг, который, по данным Gartner за 2016 год, не просто входит в число лидеров своего сегмента (IDaaS) в Magic Quadrant, но также занимает передовую позицию по способности реализации (ability to execute). Доверять этому сервису можно по причине 100%-ного показателя доступности, наличия сертификации ISO 27001:2013 и постоянного внешнего аудита по стандартам SOC 2 Type I и Type II (подробности доступны на trust.okta.com).

Дополнительные преимущества, которые вместе с этим внедрением получили и мы, и наши клиенты:

  • Оперативное и централизованное управление всеми учётными записями, что:
    • гарантирует наличие доступа к конфиденциальным данным только у уполномоченных людей, подписавших соглашение NDA;
    • распространяется на обе стороны: и специалистов «Фланта», и сотрудников заказчика.
  • Удобство единого входа (Single Sign-On) при работе с разными сервисами.

Границы применения

По состоянию на лето 2016 года, Okta внедрена во внутренних службах «Фланта» и системе управления задачами, а в ближайшем будущем планируется расширить её использование на все вспомогательные сервисы (Zabbix, GitLab, Sentry и другие).

Заключение

Но самое главное даже не в этом. Стратегия нашей компании основывается на долгосрочном сотрудничестве с заказчиками. Это естественным образом обуславливает тот факт, что мы стремимся не портить свои отношения с клиентами и репутацию на рынке, поскольку такой подход подорвёт саму идеологию бизнеса «Фланта».

Подводя итог: сохранность ваших данных — в сфере наших прямых интересов.