Ettevõtte tasemel turvalisus, mida saate usaldada

• Organisatsioon rakendab rünnakute jälgimise tööriistu, nagu võrgu-põhine sissetungimise avastamine ja ennetamine ning veebirakenduste tulemüürid.
• Organisatsioon rakendab ka Layer 7 veebirakenduste tulemüüre.

• Anti-malware on paigaldatud kõikidele lõpp-punktidele (lauaarvutid, sülearvutid, nutitelefonid ja tahvelarvutid).
• Rakenduse koodide allkirjastamine, liivakastimine ja failide karantiinimine on kasutusel kõikide nutitelefonide ja tahvelarvutite puhul.
• EDR/XDR tehnoloogia on kasutusel anti-malware agentidena kõikidel lauaarvutitel ja sülearvutitel.
• EDR/XDR haldab ja jälgib ööpäevaringne turbeoperatsioonide keskus (SOC).
• Anti-malware on tsentraalselt hallatud ja jälgitav ainult volitatud töötajate poolt.

• Organisatsioon rakendab meetmeid, mis piiravad juurdepääsu organisatsiooni andmetele usaldusväärsete serverite ja rakenduste kaudu krüpteeritud kanalites tugeva autentimisega.
• Organisatsioon rakendab meetmeid, mis piiravad juurdepääsu organisatsiooni olulistele kolmandate osapoolte rakendustele ja andmetele ainult usaldusväärsetelt seadmetelt või lõpp-punktidelt, kasutades vaid krüpteerimist ja tugevat autentimist.
• Organisatsioon rakendab mitme teguri autentimist (MFA) oma töötajatele, et pääseda juurde andmetele kriitilistes rakendustes.
• Andmejuurdepääs on piiratud, nii et konsultandid, kes vajavad juurdepääsu meie rakendustele, peavad kasutama usaldusväärset lõpp-punkti.

• Sisenevad HTTPS-ühendused on kaitstud vähemalt TLS 1.2 krüpteerimisega.
• Vastavad turvameetmed on kasutusel teiste krüpteeritud ühenduste, nagu Ipsec, SSH või SFTP puhul.
• Asümmeetriline failide või sõnumite krüpteerimine kasutab RSA-d vähemalt 2048-bitiste võtmetega või ECC-d standardsete kõveratega nagu P256.
• Sümmeetriline failide või sõnumite krüpteerimine kasutab AES-i vähemalt 256-bitise pikkusega võtmeid.
• Lõpp-punktid (lauaarvutid, sülearvutid, nutitelefonid ja tahvelarvutid) on kaitstud täis kõvaketta krüpteerimisega.
• Väljaspool asuvad andmebaasi varukoopiad on kaitstud tugeva krüpteerimisega.
• E-kirjad on krüpteeritud liikumises, üle interneti, serverite vahel, sisenevad ja väljuvad, kasutades võimalust TLS krüpteerimist.
• Spetsiifilised e-posti domeenid on kaitstud sunnitud TLS-i liikumiskrüpteerimisega.
• Kaupmehe API nõuab krüptograafiliste allkirjade kasutamist, nii sissetulevate päringute kui ka väljuvate vastuste puhul, lisaks TLS liikumiskrüpteerimisele. See tagab omandi tõestamise ja vähendab MITM rünnaku riski.
• Makseteenus kasutab tundlike lõppkasutaja andmete, näiteks paroolide või turvakoodide, jaoks seansipõhist punkt-punkti asümmeetrilist krüptimist.

• Kohalikud host Layer 3 tulemüüride seadmed on kasutusel sisemiselt juurdepääsuloendite (ACL) rakendamiseks.
• Layer 3 tulemüüride seadmed on kasutusel kontrollimaks võrgu liiklust avaliku interneti ja organisatsiooni vahel.
• Layer 7 tulemüüride seadmed on kasutusel liikluse kontrollimiseks ja jälgimiseks avaliku interneti ja organisatsiooni teenuse vahel.
• Võrgu ACL-d on kasutusel suhtluse kontrollimiseks organisatsiooni võrgu, saitide ja pilvede vahel.
• Süsteemi ACL-d on kasutusel süsteemi juurdepääsu või objekti juurdepääsu (nt salvestusobjektid) kontrollimiseks.
• ACL-d on hallatud volitatud töötajate poolt ja põhinevad ametijuhendil (süsteemi ACL-de puhul) või eelnevalt heakskiidetud võrgu kujundustel (võrgu ACL-de puhul).
• ACL-d vaadatakse regulaarselt üle (vastavalt klassifikatsioonile) või suuremate muudatuste korral.

• Loogiline juurdepääsu kontroll on rakendatud kõigile organisatsiooni süsteemidele ja teenustele.
• Juurdepääsuload määratakse heakskiiduprotsessi kaudu ja need on seotud ametijuhendiga.
• Juurdepääsuload määratakse minimaalse õiguse põhimõttel.
• Juurdepääsuload vaadatakse perioodiliselt üle, vastavalt süsteemi/teenuse klassifikatsioonile.

• Keskne logimine on rakendatud rakendustes, mis osalevad organisatsiooni makseteenuse pakkumises.
• Logidele on ligipääs volitatud töötajatel, lähtudes vajaduse põhimõttest.
• Logide haldamise süsteemi haldab volitatud töötajad.
• Logide haldamise süsteem genereerib hoiatusteateid eelnevalt määratud kriteeriumite alusel.

• Organisatsioon rakendab MDM lahendust lõpp-punktide seadmetele (lauaarvutid, sülearvutid, nutitelefonid ja tahvelarvutid), hõlmates nii töötajaid kui ka pikaajalisi konsultante organisatsioonis.
• MDM lahendus kontrollib, kellel on juurdepääs igale lõpp-punktile, kasutades tingimuslikku juurdepääsu ja kaheastmelist autentimist.
• MDM lahendus kontrollib lõpp-punktide seadeid, nagu lubatud rakendused, samuti turvaseadeid, nagu krüpteerimine ja sisselogimisandmed. MDM lahendus kontrollib lõpp-punktide uuendusi, nagu operatsioonisüsteemi ja rakenduste uuendusi, mis võivad olla vajaliku seadme puhul rakendatud.
• MDM lahendus saab kasutada lõpp-punktide lukustamiseks või kaugpühkimiseks, kui need on kadunud.
• MDM lahendus on hallatud volitatud töötajate poolt.

• Organisatsioon rakendab mitme teguri autentimist (MFA) teenustes, mida organisatsioon pakub ja tarbib.
• Organisatsioon rakendab erinevaid lähenemisviise MFA-le, sõltuvalt süsteemi/teenuse/andmete klassifikatsioonist:
  1. Riistvara token MFA
  2. Seadme sertifikaadid
  3. Kasutaja sertifikaadid
  4. Tarkvara token MFA (nt TOTP)
  5. SMS (teksti) MFA

Turvauuendused paigaldatakse automaatselt.

Allikakoodi muudatused allkirjastatakse krüptograafiliselt arendaja poolt, kasutades GPG-d koos isikliku HSM-i privaatvõtmega.

• Organisatsioon rakendab haavatavuste haldamise programmi sise- ja avalikult nähtavate varade ja teenuste jaoks.
• Organisatsioon rakendab allikakoodi haavatavuste skannerit.
• Organisatsioon teostab sise- ja avalikult nähtavate varade ja teenuste haavatavuste hindamise iganädalaselt, kus haavatavusi prioriseeritakse nende tõsiduse järgi.