Безопасность
В основе стратегии безопасности используются основные международные стандарты, определяющие требования к системам управления информационной безопасностью и управления рисками. Решения используют только безопасные каналы обмена информацией (использование сертификатов SSL), поэтому передача данных предварительно шифруется.
Для доступа и авторизации операций используем OTP (One time password) – SMS одноразовые пароли.
Применяем стандартные современные практики по защите от основных уязвимостей, в том числе по рекомендациям OWASP:
● SQL Injections
● XSS (Cross Site Scripting) XXE (XML External Entities)
● Insecure Direct Object References
● Using Components with Known Vulnerabilities Unvalidated Redirects and Forwards
● Fault toleran
Комплекс мер по соблюдению информационной безопасности обеспечивает:
● Защиту информации от различного рода вирусных и хакерских угроз;
● Сохранность данных при физической утрате и поломках информационных носителей;
● Безопасность доступа к хранимым ресурсам;
● Шлюз с фаерволом, фильтрующий входящий трафик;
● Кратковременные сессии с уникальным токеном обеспечивают защиту сессии от ее копирования;
● Избегание использования популярных библиотек при разработке, обеспечивает невозможность использования известных уязвимостей компонентов системы;
● Регулярные обновления помогают защититься от вновь выявленных уязвимостей;
● Восстановление информационной системы в случае повреждений;
● Все операции происходят исключительно по защищенным каналам связи с использованием сертификатов SSL, а также с дополнительным предварительным шифрованием передаваемых данных;
● Возможность использования двухфакторной авторизации;
● При выводе средств или изменением каких-либо настроек используется дополнительный OTP, который отправляется также на номер телефона;
● Для дополнительной надежности обрабатываемых транзакций мы используем систему мониторинга всех платежей в автоматическом и ручном режиме;
Дополнительные функции, позволяющие повысить уровень безопасности:
управление электронным кошельком с фиксированного
IP-адреса
мгновенное уведомление о совершенной операции по
SMS, е-mail и т.д.
Основными объектами для управления в подсистеме безопасности Системы являются:
● Логины пользователей – учетные записи пользователей ОС, которым разрешено работать с Системой;
● Контроль регистрации пользователей. Включают в себя привязку логинов пользователей к учетным записям пользователей Системы и к точкам доступа в систему;
● Учетные записи пользователей Системы. Ведение контроля уникальности пользователя по его заявленному идентификатору (email, телефон);
● SUPER ADMIN доступ. Применяется разработчиком для аварийного управления правами Администраторов и пользователей Системы;
● Группы пользователей. Применяются в основном для изменения схемы видимости объектов;
● Ключи. Применяются для работы с секретными ключами;
● Хранение персональных данных, платежной информации, платежных инструментов клиента в системе выполнено на основе распределенной базы данных;
● Данные о каждом задействованном в системе платежном инструменте токенизированы и зашифрованы;