Bezpieczeństwo danych w Docue

Bezpieczeństwo informacji i rozwój systemu

Docue przyznano certyfikat ISO 27001, który potwierdza, że nasz system zarządzania bezpieczeństwem informacji spełnia najwyższe międzynarodowe standardy. Utrzymanie certyfikatu wymaga corocznych audytów przeprowadzanych przez niezależnego eksperta ds. bezpieczeństwa informacji.

Stworzyliśmy kompleksowy system zarządzania bezpieczeństwem informacji, który umożliwia nam systematyczne identyfikowanie, zarządzanie i minimalizowanie ryzyk związanych z bezpieczeństwem.

Podczas rozwoju naszego systemu zawsze kierujemy się najlepszymi praktykami branżowymi i stale aktualizujemy nasze usługi - uwzględniając m.in. najnowsze zalecenia OWASP. Nasi programiści i administratorzy regularnie uczestniczą w szkoleniach z zakresu bezpieczeństwa informacji.

Bezpieczeństwo danych naszych aplikacji oraz środowisk serwerowych jest regularnie testowane (sześć razy w roku) przez zewnętrzną firmę specjalizującą się w audytach bezpieczeństwa.

Informacje logowania użytkownika i uprawnienia dostępu

Każdy użytkownik posiada indywidualną nazwę użytkownika powiązaną z jego adresem e-mail. Logowanie do usługi możliwe jest za pomocą kont Google lub Microsoft, albo przy użyciu osobistego hasła.

Dane logowania nie są przechowywane na serwerze w formie jawnej, a Docue nie ma dostępu do haseł użytkowników. Dodatkową warstwę zabezpieczeń stanowi kod weryfikacyjny, który wysyłany jest na telefon komórkowy użytkownika w przypadku logowania z nowego urządzenia lub przeglądarki.

Uprawnienia użytkowników są zarządzane w ramach konta danej firmy - to administratorzy konta decydują, jakie uprawnienia posiadają poszczególni użytkownicy i do jakich informacji mają dostęp.

Ochrona przesyłu danych i dokumentów

Cała komunikacja pomiędzy komputerem a serwerem jest szyfrowana z wykorzystaniem technologii SSL.

W przypadku naszej usługi podpisu elektronicznego, do otwarcia linku do podpisu wymagany jest osobisty kod PIN, który jest wysyłany do odbiorcy tego linku. Po zebraniu wszystkich podpisów generowany jest 256-bitowy skrót (hash) dokumentu. Zabezpieczenie to jest przechowywane na serwerze razem z dokumentem i umożliwia wykrycie wszelkich zmian dokonanych po podpisaniu. Innymi słowy, hash pozwala zweryfikować, czy dokument został utworzony za pomocą Docue i czy nie był modyfikowany po podpisaniu.

Wszystkie dokumenty są przechowywane na serwerze w formie zaszyfrowanej. Administrator usługi nie ma dostępu do dokumentów bez odpowiedniego uprawnienia.

Serwery i kontrola poziomu bezpieczeństwa

Dokumenty oraz dane użytkowników są przechowywane na serwerach, które wykorzystują najlepsze dostępne praktyki w zakresie bezpieczeństwa i ochrony danych.

Serwery zlokalizowane są w centrach danych Amazon na terenie Unii Europejskiej, a kopie zapasowe są geograficznie rozproszone. Co więcej, dane są zawsze rozdzielane pomiędzy kilka różnych serwerów i lokalizacji. Dodatkowo, dla zwiększenia bezpieczeństwa, wszystkie dane są regularnie kopiowane na serwer zapasowy, znajdujący się w infrastrukturze dostawcy usług niezależnego od Amazon.

Ruch danych przychodzących i wychodzących z serwerów jest chroniony za pomocą zapór sieciowych (firewalli). Dostawcy serwerów monitorują ruch w czasie rzeczywistym i na podstawie przeprowadzanej analizy natychmiast reagują w przypadku wykrycia zagrożeń.