Безопасность

Безопасность

Безопасность ваших персональных данных — главный приоритет для Flo. Мы понимаем, что ваш профиль в приложении может содержать строго конфиденциальные персональные данные. Поэтому каждый день мы делаем все возможное для внедрения лучших отраслевых практик и стандартов.

Соблюдение правовых норм

Компания Flo обеспечивает безопасность и защиту персональных данных в строгом соответствии с требованиями Общего регламента ЕС о защите данных, Калифорнийского закона о защите прав потребителей и других нормативных актов.

Внешний аудит

Мы регулярно проводим аудиты привлекая авторитетные агентства для проверки и совершенствования наших процессов и политик внутренней безопасности.

Физическая и экологическая безопасность

Компания Flo соблюдает самые строгие отраслевые стандарты контроля физического и экологического воздействия, а также контроля хостингов. В центрах обработки данных Flo, обслуживаемых Amazon Web Services, используются новейшие архитектурные и инженерные решения.

Безопасность продукта

Серверы и сетевое оборудование

Мы используем ресурсы Amazon Web Services для размещения всех производственных окружений. Решения AWS помогают нам создавать безопасную, высокопроизводительную, отказоустойчивую и эффективную инфраструктуру для нашего приложения. Центры обработки данных AWS надежно защищены, что подтверждено сертификатами SOC 1, SOC 2 и SOC 3. Все наши производственные серверы — это системы на основе Docker, которые защищены от изменений. Проводится регулярная установка накопительных пакетов обновлений и применяются исправления системы безопасности. Мы также используем дополнительные сервисы AWS, такие как VPC (виртуальное частное облако), инфраструктура AWS с несколькими учетными записями и EKS (Elastic Kubernetes Service). Для защиты данных, передаваемых по сети, мы используем протокол HTTPS.

Шифрование

Мы используем службу AWS KMS (Key Management Service). Это решение для хранения и аудита ключей, а также управления ими. AWS KMS позволяет шифровать данные в приложениях, применять к ним цифровую подпись, а также контролировать шифрование данных по всем сервисам AWS.

Хранение данных

Flo хранит все данные, включая метаданные, сведения об активности, исходные файлы и данные клиентов используя алгоритмы распределенного хранения. Все данные зашифрованы. Конфиденциальные данные пользователей приложения удаляются из журналов, и инженеры Flo не имеют доступа к ним.

Изолированные окружения

Производственное окружение изолировано от других окружений (промежуточного окружения, окружения разработки и окружения инфраструктуры). Для каждого окружения используется отдельный AWS аккаунт и отдельная сеть VPC.

Платежные данные клиентов

Все платежи обрабатываются в App Store, Google Play или Stripe, и эти сервисы несут полную ответственность за безопасность платежей. Flo не хранит информацию о платежных картах.

Безопасная разработка

Инженеры Flo используют лучшие методы безопасной разработки, соответствующие отраслевым стандартам, включая документированные процессы разработки и контроля качества. Руководствуясь принципами безопасности, обеспечивающими конфиденциальность, целостность и доступность, мы разрабатываем наше приложение таким образом, чтобы снизить риск возникновения ошибок, связанных с появлением уязвимостей.

Уровни обслуживания и резервные копии

В инфраструктуре компании Flo применяются многоуровневые методы для продления гарантированного времени безотказной работы, такие как автоматическое масштабирование, балансировка нагрузки, формирование очереди задач и непрерывное развертывание. Полное автоматическое резервное копирование наших баз данных мы выполняем ежедневно. Все резервные копии зашифрованы.

Мониторинг системы и генерация оповещений

Производственные приложения и базовые компоненты инфраструктуры Flo контролируются непрерывно в течении года используя специализированные системы мониторинга. Критические оповещения, генерируемые этими системами, немедленно отправляются владельцам сервиса технического обслуживания по вызову и соответствующим образом передаются на уровень операционного управления.

Выявление уязвимостей и тестирование на проникновение

Flo регулярно проводит тесты на проникновение, привлекая ведущие в отрасли компании, специализирующиеся на кибербезопасности, в отношении сети инфраструктуры и приложений. Выявление уязвимостей включает в себя использование общеизвестных наборов инструментов и сканеров безопасности веб-приложений для поиска уязвимостей в приложениях перед их развертыванием в производственной среде.

Управление трафиком

Решения для обеспечения безопасности Cloudflare позволяет приложению Flo автоматически блокировать вредоносный трафик и обеспечивать надежную работу. Независимо от местонахождения наших пользователей, решения Flo исправно работают на смартфонах благодаря интеллектуальной маршрутизации трафика, а контент в приложении теперь доставляется пользователю с ближайшего сервера Cloudflare.

Реагирование на инциденты и нарушение безопасности данных

Компания Flo внедрила процесс, описывающий действия, которые необходимо предпринять после того, как Flo Health станет известно о любом событии, отнесенном к категории «Инцидент», включая нарушение безопасности персональных данных, в соответствии с международными директивами и нормативными актами.

Безопасность как часть корпоративной культуры компании Flo

Персонал и подрядчики Flo Health не реже одного раза в год проходят обучение по информационной безопасности и отрабатывают практические навыки в области обеспечения информационной безопасности в соответствии с соответствующими политиками, процедурами и соглашениями. Команда специалистов по безопасности компании Flo постоянно проверяет, обновляет, тестирует, дорабатывает и улучшает корпоративные программы обеспечения безопасности и конфиденциальности.