Cosa fa i-Reserve sulla sicurezza e sulla privacy dei dati (personali)?

Perché devi proteggere i dati dei clienti?

Come imprenditore sai che la protezione dei dati dei clienti è essenziale. Hacker e criminali informatici sono sempre alla ricerca di nuovi modi per rubare informazioni. Ecco perché è importante prendere provvedimenti per proteggere i dati dei clienti. All'interno del nostro sistema di prenotazione online, anche i dati dei clienti dei tuoi clienti sono protetti in base alla legislazione AVG.

AVG in sostituzione di WBP

Dal 25 maggio 2018, l'AVG ha sostituito la legge sulla protezione dei dati personali (WBP). Il regolamento generale sulla protezione dei dati (AVG) è una legge sulla privacy che si applica in tutta l'UE. E sebbene l'AVG sia nuovo, si basa sui principi di base della legislazione WBP. Lo scopo dell'AVG è proteggere le normative sulla privacy e i dati personali dei cittadini dell'UE e si applica a ogni azienda che raccoglie dati personali dai cittadini dell'UE. Leggi tutto sulla legislazione AVG qui.

La sicurezza e la privacy dei dati (personali) nel sistema di prenotazione i-Reserve

Visualizza come è garantita la sicurezza e la privacy dei dati (personali) nel nostro sistema di prenotazione.

Sicuro

Come servizio forniamo il nostro sistema di prenotazione standard (privacy per impostazione predefinita) con un certificato SSL. SSL (o in realtà TLS) è riconoscibile da https: // per l'URL. Questa è una tecnica con cui la connessione tra il visitatore a un sito Web e il server in cui è ospitato il sito Web è protetta da una crittografia molto forte. Ad esempio, con una connessione SSL assicuriamo che le informazioni inviate da e verso il dialogo di prenotazione non siano indesiderabili da terzi "leggi" o "regolati".

Crittografia delle informazioni

Oltre a crittografare il traffico di dati su Internet tramite SSL (chiamiamo anche questi dati in transito), il sistema di prenotazione di riserva offre la possibilità di applicare anche la crittografia ai dati fisici (noti anche come dati a riposo).

Le password vengono archiviate crittografate all'interno i-Reserve . Inoltre, una password non verrà mai inviata con una password dimenticata, ma solo un link per essere in grado di reimpostare la password da solo.

Firewall

Quando si utilizza un firewall, abbiamo solo indirizzi IP pubblici collegati alle porte necessarie. Per le porte e le funzioni critiche da un punto di vista della sicurezza, utilizziamo una whitelist. Solo gli indirizzi IP in quell'elenco hanno accesso al sistema di prenotazione.

Web Application Firewall (WAF)

Un firewall dell'applicazione Web è un'applicazione che esamina il traffico e i monitor in entrata e in uscita. Tutto il traffico che è diverso o va contro le regole del firewall è bloccato. Con "violazioni" più pesanti come un tentativo di ripetuta iniezione di MySQL, questo indirizzo IP è direttamente sulla lista nera in modo che questo mittente non possa più connettersi al sistema di prenotazione.

IP-Whitelisting

È possibile proteggere completamente un ambiente di prenotazione i-Reserve dal mondo esterno. Questo può essere fatto utilizzando IP-WhiteListing. Ciò blocca completamente il dominio su cui si trova il sistema di prenotazione e il dominio può essere affrontato solo da specifici indirizzi IP. Questo viene utilizzato, ad esempio, dai clienti che vogliono utilizzare i-Reserve come applicazione interna.

Dichiarazioni preparate

L'iniezione SQL viene utilizzata per un tipo di vulnerabilità delle applicazioni informatiche. Le applicazioni che archiviano le informazioni in un database utilizzano spesso SQL per comunicare con il database. L'iniezione SQL può essere eseguita se gli utenti vengono inseriti in modo insufficientemente controllato in un'istruzione SQL.

All'interno del sistema di prenotazione i-Reserve utilizziamo dichiarazioni preparate. Questo è un meccanismo che garantisce che il codice indesiderato non possa essere elaborato nelle query SQL che vengono eseguite dall'applicazione.

Meccanismo di rallentamento

Gli attacchi della forza bruta significano che un elenco malizioso di password e nomi utente cercano di accedere automaticamente al sistema di prenotazione, fino a quando non è stata trovata una combinazione corretta.

Usiamo un meccanismo di rallentamento per trasformare attacchi di forza brutali. La prima volta che c'è una combinazione sbagliata di nome utente e password, è necessario attendere due secondi prima che possa essere provata una nuova combinazione. La seconda volta quattro secondi, la terza volta sedici secondi. Questo è un modo per fare l'uso di Brute costringendo inutilizzabile.

Meccanismo di blocco

Se l'accesso non è mai stato ottenuto da un intruso e questo cerca di darle più diritti, è reso impossibile per lui ed escluso.

Hosting e archiviazione dei dati

Tutti i nostri dati sono archiviati nei Paesi Bassi. L'applicazione di prenotazione i-Reserve e il database corrispondente vengono eseguiti su un server dedicato. Ciò significa che il server è impostato per il sistema di prenotazione i-Reserve ed è utilizzato solo dai clienti TEQA WebDiensten. Con la presente i dati sono accessibili solo dall'applicazione, nessun'altra fonte ha il permesso di connettersi con il database.

Database

i-Reserve non utilizza database condivisi. Ogni cliente ha il proprio database con dati di accesso univoci. Di conseguenza, il rischio è ridotto al minimo durante una possibile perdita.

Backup quotidiani

Per garantire che i dati non siano semplicemente persi, utilizziamo backup automatizzati giornalieri. Questi backup del sistema di prenotazione vengono eseguiti ogni giorno in cui sono inclusi sia il database che il file system. I backup sono archiviati su un server separato e archiviati per 30 giorni.

Scansioni quotidiane

Facciamo una scansione automatizzata del sistema con McAfee Secure ogni giorno, che mettono alla prova la sicurezza dei nostri server. Facciamo anche una scansione giornaliera su malware e virus e abbiamo un controllo proattivo su questo.

Segregazione dei doveri

La segregazione dei doveri (o della divisione del lavoro) è il concetto che diffonde una certa responsabilità per più di una persona. Programmatori e sviluppatori, ad esempio, non hanno accesso ai database dei clienti. Solo le persone che hanno bisogno di accedere ai sistemi di produzione e ai database per il loro lavoro hanno l'accesso.

Anonimizza automaticamente i dati personali

Al fine di rispettare la legislazione in merito all'elaborazione dei dati personali secondo AVG, nel nostro sistema di prenotazione è possibile che i dati personali pertinenti siano automatizzati anonimi. Ciò significa che i dati personali non sono archiviati più a lungo del necessario o dovrebbero essere resi anonimi. Questo cade sotto "il diritto di essere dimenticato".

Questa funzionalità non è attiva e dovrà essere impostata (privacy by Design) dal manager.

Apri Progetto di sicurezza delle applicazioni Web

Il sistema di prenotazione i-Reserve soddisfa la top 10 di OWASP ampiamente utilizzata. Lo sviluppo dell'applicazione è già preso in considerazione gli argomenti più recenti in quel top 10 OWASP. Inoltre, per ulteriori fasi di test - sono verificati se l'applicazione continua a soddisfare questi requisiti.

Come puoi garantire tu stesso la sicurezza dei dati dei tuoi clienti?

Naturalmente sei anche responsabile della sicurezza e della privacy per quanto riguarda i dati dei clienti. L'uso di password semplici, la condivisione di account utente e "dimenticare" per disconnettersi sono esempi che vediamo comuni nella pratica. Offriamo quindi la possibilità di fornire password con un numero minimo di caratteri, numeri, lettere maiuscole e caratteri speciali. La modifica obbligatoria della password dell'utente al numero X di giorni è anche una possibilità che abbiamo integrato nel sistema di prenotazione i-Reserve .

Naturalmente dipende da te come organizzazione garantire che un utente sia stato creato per tutti (ciò non comporta costi aggiuntivi) e che i diritti basati sui gruppi di utenti siano impostati correttamente. Accorciando la lunghezza di una sessione di registrazione, è possibile affrontare il "dimenticato".

In breve, possibilità sufficienti per assumersi la responsabilità da soli e prevenire l'abuso di dati (personali).

Curioso del nostro sistema di prenotazione?

Vuoi scoprire cosa può significare il sistema di prenotazione i-Reserve O vuoi maggiori informazioni sulla protezione dei dati dei clienti? Quindi contattaci .