Jsou vaše data v bezpečí? Jak v GRiTu přistupujeme k ochraně dat a údajů

Jako poskytovatel cloudových služeb si uvědomuje obrovskou zodpovědnost, kterou máme vůči datům a osobním údajům našich zákazníků. Proto jsme letos v březnu prošli recertifikačním auditem ISO 27001 a pro zabezpečení dat využíváme několik dalších nástrojů a přístupů. Přečtěte si více o tom, jak ochranu dat řešíme.

Prošli jsme recertifikací ISO 27001

ISO 27001 je mezinárodně platný standard, který definuje požadavky na management bezpečnosti informací. Firma ziskem certifikátu prokazuje, že používá systematický přístup k řízení bezpečnosti informací založený na řízení rizik. Normy pro získání certifikátu určuje Mezinárodní organizace pro standardizaci, která od roku 1947 sídlí v Ženevě.

V březnu letošního roku jsme s GRiTem prošli recertifikačním auditem a získali certifikát ISO 27001 na další tři roky. Auditoři se zaměřili zejména na:

• důvěrnost (zda přístup k informacím a datům mají jen autorizované osoby),
• integritu (zda je možné stanovit správnou a úplnou podobu informací)
• a dostupnost (zda se k datům autorizované osoby dostanou, když potřebují).

Součástí auditu byla také identifikace aktiv firmy, která je nutno chránit, a rizik bezpečnosti informací a zavedení opatření s požadovanou úrovní záruk.

„Pokud chce společnost nakládající s daty přistoupit k problematice bezpečnosti informací skutečně odpovědně, certifikace dle ISO 27001 představuje systémový a strukturovaný přístup, který pomůže zvýšit ochranu informací a identifikovat a minimalizovat hrozby a rizika,“ říká Petr Maličovský, MBA, jednatel certifikační firmy United Registrar of Systems Czech, s.r.o.

Využíváme cloudové servery Microsoftu a Amazonu

Pro ukládání dat našich klientů využíváme pouze prověřená serverová řešení od Amazonu (AWS) a Microsoftu (Azure).

Kromě velkého jména, které je samo o sobě zárukou spolehlivosti, obě tyto firmy splňují požadavky normy ISO 27002 a mají další mezinárodní certifikace. Ty mimo jiné dokládají důslednou ochranu serverů před fyzickým přístupem nebo přírodními katastrofami.

„Serverová řešení od Amazonu a Microsoftu využíváme už několik let, se 100 % našich dat jsme na ně přešli v roce 2021. Za tu dobu jsme nezaznamenali ani jeden významnější bezpečnostní incident,” říká David Snášel, Head of Development GRiTu.

Bezpečnost a monitoring aplikací

Nad rámec bezpečnosti, kterou zajišťují Microsoft a Amazon, pravidelně testujeme bezpečnost našich produktů v cloudech za pomoci třetích stran dle OWASP standardů – například provádíme penetrační testy dle metodiky OWASP Top 10 u obou webových aplikací ORiON i LOKiA. Všechny komponenty a jejich funkčnost také nepřetržitě monitorujeme službou PRTG monitoring, která je zcela nezávislá na cloudech a představuje tak další bezpečnostní pojistku.

Samotná data v aplikacích jsou dostupná pouze autorizovaným uživatelům po přihlášení unikátním ID a heslem. Míru dostupnosti dat po přihlášení určují přiřazená práva a role uživatelů. Přihlášení také podléhá bezpečnostním kontrolám z důvodu ochrany před kybernetickými útoky.

Odchozí i příchozí komunikace v aplikacích je navíc šifrována a prochází antivirovou kontrolou.

Zálohování dat a pojištění odpovědnosti

Data našich zákazníků na cloudových serverech v reálném čase ukládáme do dalších dvou lokálních úložišť. Pro případ lokálních výpadků je pak v pravidelných intervalech zálohujeme ještě na třetí úložiště v odlišné lokalitě.

Zároveň máme u ČSOB sjednané pojištění odpovědnosti za škody způsobené zákazníkům. Kromě obecné odpovědnosti máme smluvené i pojištění škod způsobených v důsledku nefunkčního softwaru a dalších potenciálních vad našich služeb.

Školení zaměstnanců

Dobře si uvědomujeme, že nejslabším bezpečnostním článkem každé firmy je člověk. Proto všechny naše zaměstnance pravidelně školíme v oblastech kyberbezpečnosti, nakládání s citlivými daty nebo fyzické ochrany.

Žádná firma na světě samozřejmě nemůže zaručit 100% bezpečnost dat, nicméně v GRiTu děláme všechno pro to, abychom se k této metě přiblížili. Další informace k tématu najdete na naší stránce Bezpečnost dat zákazníků.

‍