Безопасность

Подход к безопасности

Компания придерживается принципа «безопасность по умолчанию» (Security by Design) на всех этапах разработки и сопровождения программных продуктов. Управление рисками информационной безопасности осуществляется на основе систематической оценки угроз и уязвимостей. Наша политика безопасности актуализируется не реже одного раза в год и после каждого существенного изменения инфраструктуры. Все сотрудники проходят регулярное обучение по вопросам кибербезопасности и осведомлённости о социальной инженерии.

Защита данных клиентов

Клиентские данные хранятся в зашифрованном виде с использованием алгоритмов AES-256. Передача данных осуществляется исключительно по протоколам TLS 1.2 / 1.3 с применением современных наборов шифров. Доступ к производственным системам контролируется по принципу минимальных привилегий (Least Privilege) с обязательной многофакторной аутентификацией для всех сотрудников. Резервные копии критичных данных создаются ежедневно, шифруются и хранятся в географически распределённых дата-центрах. Мы проводим регулярные тесты восстановления данных из резервных копий.

Соответствие стандартам

Компания руководствуется требованиями Федерального закона № 152-ФЗ «О персональных данных» и подзаконными актами ФСТЭК и ФСБ России в части защиты информационных систем персональных данных. Разработка программного обеспечения ведётся в соответствии с практиками OWASP Top 10 и SANS CWE Top 25. Для корпоративных клиентов, требующих соответствия международным стандартам (ISO/IEC 27001, SOC 2), мы готовы предоставить дополнительную документацию и результаты аудитов по запросу. Регулярное прохождение внешних пентестов подтверждает устойчивость наших систем к актуальным угрозам.

Обработка инцидентов

Для реагирования на инциденты информационной безопасности в Компании действует CSIRT (Computer Security Incident Response Team) с круглосуточным дежурством. При обнаружении инцидента, затрагивающего персональные данные клиентов, мы обязуемся уведомить Роскомнадзор в течение 24 часов, а пострадавших субъектов данных — в течение 72 часов с момента обнаружения. Все инциденты фиксируются в журнале, расследуются и анализируются для предотвращения повторного возникновения. Ключевые выводы по закрытым инцидентам включаются в программы обучения сотрудников.

Сообщить об уязвимости

Компания приветствует ответственное раскрытие уязвимостей (Coordinated Vulnerability Disclosure) исследователями безопасности. Если вы обнаружили потенциальную уязвимость в наших системах или продуктах, просим направить подробный отчёт по адресу hello@24ttl.net с пометкой «Уязвимость». Пожалуйста, воздержитесь от публичного раскрытия до получения подтверждения от нашей команды и устранения проблемы. Мы подтвердим получение отчёта в течение 48 часов и сообщим о ходе устранения в течение 14 рабочих дней. Компания не возбуждает судебных претензий к исследователям, действующим добросовестно в рамках настоящей политики.

Контакты ИБ

По всем вопросам информационной безопасности обращайтесь в службу ИБ ООО «24ТТЛ». Электронная почта: hello@24ttl.net (для сообщений о критических уязвимостях используйте PGP-шифрование; публичный ключ доступен по запросу). Почтовый адрес: 123001, г. Москва, ул. Большая Садовая, д. 5, корп. 1, офис 510, ООО «24ТТЛ», Служба информационной безопасности. Мы серьёзно относимся к каждому обращению и гарантируем конфиденциальность в рамках проводимых расследований.