Auto Reminders
Sign inGet started

Saugumas

Paskutinis atnaujinimas: 2025-01-27

Auto Reminders saugumo praktikos ir priemonės jūsų duomenų apsaugai.

1. Saugumo filosofija

Saugumas yra mūsų veiklos pagrindas. Įgyvendiname daugiapakopę saugumo strategiją, kuri apima:

  • Prevencija: proaktyvūs saugumo priemonės
  • Aptikimas: nuolatinis saugumo stebėjimas
  • Reagavimas: greitas incidentų valdymas
  • Atsistatymas: efektyvus atsistatymas po incidentų

2. Techninės saugumo priemonės

2.1 Duomenų šifravimas

  • Perdavimo šifravimas: TLS 1.3 protokolas visoms ryšio sesijoms
  • Duomenų bazės šifravimas: AES-256 šifravimas duomenų saugojimui
  • Failų šifravimas: AES-256 šifravimas failų saugojimui
  • Slaptažodžių šifravimas: bcrypt su salt slaptažodžių saugojimui
  • API šifravimas: JWT tokenai su RSA šifravimu

2.2 Tinklo saugumas

  • Firewall: daugiapakopė tinklo apsauga
  • DDoS apsauga: Cloudflare DDoS migracijos
  • WAF: Web Application Firewall
  • VPN: saugus darbuotojų prieigos
  • Segmentacija: tinklo segmentų izoliavimas

2.3 Serverių saugumas

  • OS saugumas: reguliarūs saugumo atnaujinimai
  • Portų valdymas: tik reikalingų portų atvėrimas
  • Servisų valdymas: minimalūs privilegijų principas
  • Failų sistemos saugumas: failų teisių kontrolė
  • Procesų valdymas: procesų stebėjimas ir kontrolė

3. Duomenų apsauga

3.1 Duomenų saugojimas

  • Geografinis išdėstymas: duomenys saugomi ES teritorijoje
  • Atsarginės kopijos: reguliarūs duomenų atsarginių kopijų kūrimas
  • Replikacija: duomenų kopijų kūrimas skirtingose vietose
  • Archyvavimas: senų duomenų archyvavimas
  • Ištrynimas: saugus duomenų ištrynimas

3.2 Duomenų prieiga

  • Autentifikavimas: daugiafaktorinis autentifikavimas
  • Autorizacija: rolės pagrindu paremtas prieigos valdymas
  • Auditas: visų prieigos veiksmų registravimas
  • Laiko apribojimai: prieigos laiko apribojimai
  • Geografiniai apribojimai: prieigos vietos kontrolė

4. Aplikacijos saugumas

4.1 Kodo saugumas

  • Kodo peržiūra: reguliarūs kodo saugumo audito tikrinimai
  • Automatinis testavimas: saugumo testų automatizavimas
  • Priklausomybių valdymas: saugumo pažeidimų aptikimas
  • Kodo šifravimas: jautrių duomenų šifravimas kode
  • Git saugumas: saugus kodo versijų valdymas

4.2 API saugumas

  • Autentifikavimas: JWT tokenų naudojimas
  • Rate limiting: API užklausų apribojimai
  • Input validacija: įvesties duomenų tikrinimas
  • CORS: Cross-Origin Resource Sharing kontrolė
  • API versijavimas: saugus API versijų valdymas

4.3 Web saugumas

  • HTTPS: SSL/TLS sertifikatai
  • HSTS: HTTP Strict Transport Security
  • CSP: Content Security Policy
  • XSS apsauga: Cross-Site Scripting prevencija
  • CSRF apsauga: Cross-Site Request Forgery prevencija

5. Saugumo stebėjimas

5.1 Nuolatinis stebėjimas

  • SIEM: Security Information and Event Management
  • Log analizė: sistemų žurnalų analizė
  • Metrikų stebėjimas: saugumo metrikų sekimas
  • Alertai: automatiniai saugumo įspėjimai
  • Dashboard: saugumo būsenos vaizdavimas

5.2 Incidentų aptikimas

  • Anomalių aptikimas: neįprastos veiklos identifikavimas
  • Malware aptikimas: kenkėjiško programinės įrangos aptikimas
  • Intrusion aptikimas: įsibrovimo bandymų aptikimas
  • Data loss aptikimas: duomenų praradimo aptikimas
  • Compliance stebėjimas: atitikties reikalavimų stebėjimas

6. Incidentų valdymas

6.1 Incidentų klasifikacija

  • Kritiniai: duomenų pažeidimas, sistemos neveikimas
  • Aukšti: saugumo pažeidimas, paslaugų sutrikimas
  • Vidutiniai: saugumo grėsme, funkcionavimo problemos
  • Žemi: saugumo įspėjimai, nedideli sutrikimai

6.2 Reagavimo procedūros

  • Identifikavimas: incidento aptikimas ir klasifikavimas
  • Kontainment: incidento izoliavimas
  • Eradikacija: grėsmės pašalinimas
  • Atsistatymas: sistemos atsistatymas
  • Pamokos: incidento analizė ir patobulinimai

6.3 Komunikacija

  • Vidinis komunikavimas: komandos informavimas
  • Klientų informavimas: paveiktų klientų informavimas
  • Reguliatorių pranešimas: reikalingų institucijų informavimas
  • Viešasis komunikavimas: reikalingais atvejais

7. Organizacinis saugumas

7.1 Darbuotojų saugumas

  • Saugumo mokymai: reguliarūs saugumo mokymai
  • Background tikrinimas: darbuotojų tikrinimas
  • Konfidencialumo susitarimai: NDA sutartys
  • Prieigos valdymas: minimalūs privilegijų principas
  • Darbuotojų išėjimas: saugus prieigos atšaukimas

7.2 Saugumo politika

  • Saugumo strategija: aiški saugumo strategija
  • Procedūros: saugumo procedūrų dokumentavimas
  • Gairės: saugumo gairių sukūrimas
  • Auditas: reguliarūs saugumo audito tikrinimai
  • Atnaujinimai: politikos reguliarūs atnaujinimai

8. Atitikties reikalavimai

8.1 GDPR atitiktis

  • Duomenų apsaugos principai: GDPR principų laikymasis
  • Duomenų subjektų teisės: teisių įgyvendinimas
  • Duomenų pažeidimų pranešimas: 72 valandų terminas
  • DPIA: Duomenų apsaugos poveikio vertinimas
  • DPO: Duomenų apsaugos pareigūnas

8.2 ISO 27001

  • Informacijos saugumo valdymas: ISMS sistemos įgyvendinimas
  • Rizikų valdymas: saugumo rizikų vertinimas
  • Kontrolės priemonės: saugumo kontrolės įgyvendinimas
  • Nuolatinis gerinimas: saugumo sistemos gerinimas
  • Auditas: nešališki audito tikrinimai

8.3 SOC 2

  • Saugumas: sistemos saugumo užtikrinimas
  • Prieinamumas: sistemos prieinamumo užtikrinimas
  • Apdorojimo integritetas: duomenų apdorojimo integritetas
  • Konfidencialumas: duomenų konfidencialumo užtikrinimas
  • Privatumas: privatumo apsaugos užtikrinimas

9. Saugumo testavimas

9.1 Automatinis testavimas

  • SAST: Static Application Security Testing
  • DAST: Dynamic Application Security Testing
  • IAST: Interactive Application Security Testing
  • SCA: Software Composition Analysis
  • Infrastructure skenavimas: infrastruktūros saugumo tikrinimas

9.2 Rankinis testavimas

  • Penetration testing: įsibrovimo testavimas
  • Code review: kodo saugumo peržiūra
  • Architecture review: architektūros saugumo vertinimas
  • Threat modeling: grėsmių modeliavimas
  • Red team exercises: raudonosios komandos pratimai

10. Saugumo atnaujinimai

10.1 Reguliarūs atnaujinimai

  • Sistemos atnaujinimai: reguliarūs OS ir programinės įrangos atnaujinimai
  • Saugumo patchai: kritinių saugumo pažeidimų ištaisymas
  • Priklausomybių atnaujinimai: bibliotekų ir priklausomybių atnaujinimai
  • Konfigūracijos atnaujinimai: saugumo konfigūracijos patobulinimai
  • Politikos atnaujinimai: saugumo politikos atnaujinimai

10.2 Skubūs atnaujinimai

  • Zero-day pažeidimai: skubūs kritinių pažeidimų ištaisymai
  • Active exploitation: aktyviai naudojamų pažeidimų ištaisymas
  • Compliance reikalavimai: atitikties reikalavimų įgyvendinimas
  • Incidentų išvados: incidentų analizės išvadų įgyvendinimas

11. Saugumo sertifikavimas

11.1 Turimi sertifikatai

  • ISO 27001: Informacijos saugumo valdymo sistemos sertifikatas
  • SOC 2 Type II: Saugumo, prieinamumo ir konfidencialumo sertifikatas
  • GDPR atitiktis: Bendrojo duomenų apsaugos reglamento atitiktis
  • PCI DSS: Mokėjimo kortelių duomenų saugumo standartas
  • Cloud Security Alliance: Debėsų saugumo aljanso sertifikatas

11.2 Sertifikavimo procesas

  • Vertinimas: dabartinės būsenos vertinimas
  • Gap analizė: spragų identifikavimas
  • Implementacija: reikalingų priemonių įgyvendinimas
  • Auditas: nešališko auditoriaus tikrinimas
  • Sertifikavimas: sertifikato gavimas

12. Saugumo atskleidimas

12.1 Responsible Disclosure

Jei aptikote saugumo pažeidimą, prašome:

  • Nedelsiant pranešti mums apie pažeidimą
  • Nepublikuoti informacijos viešai prieš ištaisymą
  • Teikti detalią informaciją apie pažeidimą
  • Leisti mums ištaisyti pažeidimą
  • Bendradarbiauti su mūsų saugumo komanda

12.2 Kontaktai saugumo klausimams

Saugumo komanda: security@remindly.lt

PGP raktas: Atsisiųsti PGP raktą

Signal: +370 600 12345

ProtonMail: security@protonmail.com

13. Kontaktai

Saugumo komanda

El. paštas: security@remindly.lt

Telefonas: +370 600 12345

Adresas: Vilnius, Lietuva

Duomenų apsaugos pareigūnas

El. paštas: dpo@remindly.lt

Darbo laikas: Pirmadienis - Penktadienis, 9:00 - 18:00