Безопасность информации при использовании сервисов Servercore
Servercore обеспечивает безопасность информации своих продуктов, услуг и сервисов от момента регистрации аккаунта в панели управления до момента удаления аккаунта.
Жизненный цикл клиента Servercore как пользователя сервисов начинается с момента создания учетной записи владельца аккаунта. На всех этапах жизненного цикла клиента осуществляется поддержка и взаимодействие по его запросам в рамках технической поддержки. Мы автоматически удалим данные клиента:
- при удалении владельцев аккаунтов;
- или при отключении сервисов, которые предоставляются клиенту, за неуплату.
Владельцами данных являются клиенты сервисов Servercore. Servercore использует информацию о клиентах для выполнения целей договора и уведомляет клиента об инцидентах, затрагивающих пользовательские данные. Servercore не несет ответственность за безопасность информации, которую клиенты размещают и хранят в информационных системах, созданных на базе продуктов, услуг и сервисов Servercore. При этом Servercore может уведомить клиента об инциденте в своей зоне ответственности, если инцидент мог оказать влияние на клиента.
Servercore уделяет внимание процедурам управления доступом своих сотрудников и подрядчиков. Это позволяет минимизировать риски информационной безопасности: накопление избыточных прав, несанкционированный доступ и неправомерное использование информационных активов Servercore или клиентов.
Процедуры Servercore гарантируют, что доступ к ресурсам Servercore получают только авторизованные сотрудники или представители подрядчиков. Доступ предоставляется исходя из принципа минимально необходимых привилегий для выполнения должностных обязанностей или контрактных обязательств.
Доступ к данным о клиентах со стороны сотрудников Servercore строго ограничен и предоставляется только для выполнения должностных обязанностей. Все сотрудники подписывают соглашение о конфиденциальности, проходят регулярные обучения и повышение осведомленности в области информационной безопасности. Доступ к данным о клиентах осуществляется только по мере необходимости в целях предоставления поддержки, обслуживания или улучшения качества обслуживания.
Персональные данные
Servercore сохраняет конфиденциальность персональных данных, которые вы указываете при создании учетной записи в панели управления, и предоставляет их в любой доступной форме по вашему обращению.
Мы можем распечатать ваши персональные данные, чтобы выполнить требования законодательства или при вашем запросе, например, для подготовки бумажных копий договоров и актов между нами.
Учетная запись и ее компрометация
Если у вас возникли проблемы с доступом в аккаунт, вы можете восстановить доступ к аккаунту.
Если учетная запись была скомпрометирована или вы подозреваете компрометацию:
- измените пароль и адрес электронной почты;
- завершите все активные сессии;
- проверьте актуальность списка пользователей и особое внимание уделите сервисным пользователям. Посмотреть список пользователей может Владелец аккаунта и пользователь с ролью
iam.adminв панели управления: в верхнем меню нажмите IAM → раздел Пользователи или Сервисные пользователи. Подробнее о ролях в инструкции Управление доступом в продуктах Servercore.
Управление доступом
Доступом других пользователей к услугам, продуктам и сервисам Servercore управляет Владелец аккаунта.
Права доступа пользователей разграничиваются через роли пользователей, которые определяют доступы в рамках каждого типа пользователей.
Подробнее про управление доступом в разделе Разделение доступов.
Использование сервисов
Информация об использовании услуг, продуктов и сервисов Servercore конфиденциальная. Доступ к этой информации строго регламентируется, а для передачи используются только защищенные каналы связи.
Безопасность виртуализации
Servercore обеспечивает безопасность технологий виртуализации от несанкционированного доступа к информации и утечки данных. Для этого на уровне служебной инфраструктуры и системы виртуализации применяются технологии и инструменты управления уязвимостями, антивирусной защиты и контроля доступа, включая контроль действий привилегированных пользователей и защиту от сетевых атак.
Изоляция инфраструктуры клиентов
Инфраструктура каждого клиента Servercore изолирована на нескольких уровнях:
- уровень панели управления;
- уровень инфраструктуры.
Объекты инфраструктуры создаются, изменяются и удаляются средствами платформы. Вычислительные ресурсы, которые выделены для таких объектов, закрепляются за клиентом и не используются в инфраструктурах, которые принадлежат другим клиентам. В зависимости от особенностей услуги, продукта или сервиса изоляция выполняется на физическом или логическом уровне. Виртуальные ресурсы изолируются на уровне среды виртуализации, а ресурсы выделенных серверов на уровне технических средств и сетей.
Удаление временных файлов
Временные файлы, которые обрабатываются объектами инфраструктуры Servercore, не содержат персональные данные. При завершении работы с объектом инфраструктуры временные файлы автоматически удаляются компонентами платформы.
Удаление временных файлов, которые создаются и хранятся в продуктах, услугах, сервисах Servercore, когда вы их используете, находится в вашей зоне ответственности.
Использование средств криптографической защиты
Объекты инфраструктуры Servercore взаимодействуют по безопасным протоколам с аутентификацией по цифровым сертификатам. Для безопасности при передаче данных пользователи подключаются к панели управления и API по надежным протоколам.
Для дополнительной безопасности данных используйте собственные средства криптографической защиты.
Безопасность при разработке сервисов
При разработке сервисов мы:
- анализируем безопасность проектируемой архитектуры и особенности применяемых решений;
- реализуем требования к безопасности, политики и лучшие отраслевые практики безопасности на каждом этапе жизненного цикла разработки;
- тестируем реализацию требований безопасности, которые формируются на этапе построения архитектуры сервиса или при его изменении;
- проводим тренинги и регулярно повышаем квалификацию сотрудников в сфере информационной безопасности по направлению их деятельности.
Управление уязвимостями
Мы регулярно анализируем защищенность инфраструктуры наших продуктов, услуг и сервисов: проводим внутренние и внешние сканирования, тесты на проникновение. Это позволяет нам быстрее выявлять уязвимости и устранять их.
Подробнее о разделении обязанностей в части информационной безопасности между нами и клиентом, а также о применяемых мерах безопасности, на странице Безопасность на servercore.com.
Уведомления об изменениях, уязвимостях и инцидентах
Информация о доступности сервисов и плане технических работ отображается в статус-панели.
Дополнительно в панели управления можно настроить уведомления аккаунта. Они оповещают о технических работах, изменениях, сбоях, уязвимостях, которые могут повлиять на доступность инфраструктуры и ее безопасность.
Чтобы возможные последствия при нарушении информационной безопасности были минимальны, в Servercore организован процесс управления инцидентами информационной безопасности, который включает в себя:
- анализ событий систем мониторинга, а также сообщений сотрудников, клиентов и регулирующих органов;
- выявление инцидентов ИБ и анализ причин их возникновения;
- реагирование на инциденты ИБ;
- предотвращение повторного возникновения инцидентов.
Клиенты могут сообщить об инцидентах ИБ через тикет.
Дальнейшая работа с инцидентом будет зависеть от того, в чьей он зоне ответственности.
Если инцидент находится в зоне ответственности Servercore и может нанести вред инфраструктуре, мы самостоятельно отреагируем на него. При необходимости предоставим информацию об инциденте, если он оказал на вас влияние. Сделаем это через тикет или уведомления аккаунта.
Если инцидент находится в вашей зоне ответственности, вы должны отреагировать на него самостоятельно. По возможности мы поможем вам собрать информацию по инциденту в рамках технической поддержки.
При инциденте с несанкционированным доступом к персональным данным или средствам их обработки, который может привести к потере, раскрытию или изменению персональных данных, мы сразу оповещаем всех клиентов, которых он может затронуть. Сделаем это через тикет или уведомления аккаунта.
Маркировка информации
Servercore не предоставляет сервисы по маркировке информации. Необходимость и способы маркировки информации, а также ответственность за безопасность данных, размещенных в продуктах, услугах, сервисах Servercore, — ваша зона ответственности.
Использование утилит, способных обойти процедуры безопасности
При работе с продуктами, услугами и сервисами Servercore запрещено использовать программы, которые могут обойти процедуры безопасности. Если при помощи таких программ вы анализируете защищенности ваших систем, можно согласовать их использование через тикет.
Мы запрещаем использовать наши продукты, услуги и сервисы для злонамеренной активности: распространения вредоносного ПО; распространения ПО и других данных с нарушением прав интеллектуальной собственности, кибератак и пр.
Удаление данных клиентов
В любой момент можно самостоятельно удалить аккаунт и данные, которые хранятся на инфраструктуре Servercore.
Если вы откажетесь от продуктов, услуг, сервисов или не оплатите их вовремя, мы автоматически уничтожим все данные, которые хранились в инфраструктуре Servercore, в срок, установленный документом «Условия использования отдельных сервисов» для конкретного продукта, услуги, сервиса. Их можно посмотреть на странице Документы на servercore.com.
Сроки и условия удаления персональных данных наших клиентов определены документом Политика в отношении обработки и защиты персональных данных.
Нарушение прав интеллектуальной собственности
При возникновении подозрений на нарушение прав интеллектуальной собственности сообщите об этом в тикете. Мы обработаем ваше обращение в рамках процесса управления инцидентами информационной безопасности.
Документы
Посмотрите условия договоров для физических и юридических лиц, а также приложения к договорам на странице Юридическая информация на servercore.com.
Для каждого документа мы сохраняем историю изменений с момента создания. Вы можете запросить у нас для ознакомления предыдущие версии документов.