Securitate

Abordarea noastră în materie de securitate

Carsdata funcționează ca infrastructură de date pentru piața auto europeană, iar confidențialitatea, integritatea și disponibilitatea datelor care ne sunt încredințate sunt fundamentale pentru acest rol. Adoptăm o abordare de apărare în profunzime: securitatea este integrată în modul în care proiectăm, construim și operăm platforma, în loc să fie adăugată ulterior. Această pagină rezumă măsurile tehnice și organizatorice pe care le menținem. Este furnizată în scop de transparență și nu face parte din niciun contract; angajamentele specifice sunt prevăzute în acordul de servicii relevant și în Acordul de prelucrare a datelor.

Guvernanță și conformitate

Programul nostru de securitate este conceput în jurul controalelor și al Criteriilor privind serviciile de încredere prevăzute în cadre recunoscute pe plan internațional — inclusiv ISO/IEC 27001 și SOC 2 — și ne evaluăm și ne îmbunătățim continuu practicile în raport cu acestea. Prelucrăm datele cu caracter personal în conformitate cu GDPR, iar prelucrarea noastră în numele clienților este reglementată de Acordul nostru de prelucrare a datelor.

Securitatea este asumată la nivel de conducere, sprijinită de politici documentate care acoperă utilizarea acceptabilă, controlul accesului, clasificarea datelor, gestionarea modificărilor, gestionarea furnizorilor și răspunsul la incidente. Politicile sunt revizuite periodic și după orice modificare semnificativă a mediului nostru.

Găzduirea datelor și infrastructura

Platforma rulează pe infrastructura unor furnizori de cloud consacrați care operează centre de date certificate și securizate fizic. Datele cu caracter personal sunt găzduite în principal în interiorul Uniunii Europene / Spațiului Economic European. Infrastructura noastră este segregată din punct de vedere logic, este implementată în zone de disponibilitate reziliente și este gestionată prin infrastructură-ca-cod, astfel încât mediile să fie consecvente, verificabile și reproductibile.

Criptare

Datele în tranzit sunt criptate folosind TLS în rețelele publice. Datele în repaus sunt criptate folosind algoritmi puternici, standard în industrie. Cheile de criptare sunt gestionate prin serviciile de gestionare a cheilor ale furnizorilor noștri de cloud, cu acces restricționat la sistemele și personalul autorizate.

Controlul accesului

Accesul la sisteme și date respectă principiile privilegiului minim și ale necesității de a cunoaște. Accesul administrativ necesită autentificare cu factori multipli, este acordat pe bază de rol, este înregistrat și este revizuit periodic și revocat prompt atunci când nu mai este necesar. Acolo unde este acceptat, accesul clientului la platformă poate fi federat prin autentificare unică (single sign-on).

Securitatea rețelei și a aplicațiilor

Rețeaua noastră este protejată prin firewall-uri, grupuri de securitate și segmentare care restricționează traficul la ceea ce este necesar. Aplicațiile sunt protejate împotriva vulnerabilităților web obișnuite printr-o proiectare securizată, validarea datelor de intrare și configurații consolidate, iar punctele de acces publice sunt protejate împotriva atacurilor volumetrice și de la nivelul aplicației.

Ciclul de dezvoltare securizată

Modificările aduse platformei trec prin controlul versiunilor, examinarea codului de către colegi și testare automată înainte de lansare. Utilizăm scanarea automată a dependențelor și a vulnerabilităților în fluxurile noastre de lucru, separăm mediile de dezvoltare, de testare (staging) și de producție și urmăm un proces controlat de gestionare a modificărilor, astfel încât lansările să fie trasabile și reversibile.

Monitorizare, jurnalizare și detectare

Colectăm centralizat jurnalele de aplicații, de infrastructură și de acces și monitorizăm activitatea anormală și problemele de disponibilitate. Alertele sunt direcționate către echipa responsabilă, astfel încât eventualele probleme să poată fi investigate și soluționate cu promptitudine.

Gestionarea vulnerabilităților și testarea

Scanăm periodic sistemele și dependențele noastre pentru vulnerabilități cunoscute și le remediem pe baza prioritizării riscurilor. Recurgem la terți calificați pentru a efectua teste de penetrare periodice și abordăm constatările în funcție de gravitatea acestora.

Copii de rezervă și continuitatea activității

Datele sunt salvate periodic, copiile de rezervă fiind criptate și stocate separat de sistemele primare. Menținem planuri de continuitate a activității și de recuperare în caz de dezastru, cu obiective de recuperare definite, și testăm capacitatea noastră de a restabili serviciul, astfel încât să ne putem reveni în urma unei perturbări cu un impact minim.

Securitatea personalului

Personalul este ținut de obligații de confidențialitate și beneficiază de instruire în materie de securitate și de protecție a datelor corespunzătoare rolului său, atât la integrare, cât și în mod continuu. Accesul la datele de producție este limitat la cei care au nevoie de acesta pentru activitatea lor și este eliminat atunci când își schimbă rolul ori pleacă.

Subîmputerniciți și gestionarea furnizorilor

Recurgem la un număr limitat de subîmputerniciți atent selectați — în principal furnizori de infrastructură și de stocare în cloud — pentru a furniza Serviciile. Evaluăm postura de securitate a furnizorilor noștri, îi obligăm prin obligații contractuale adecvate în materie de protecție a datelor și de securitate și menținem o listă actualizată a subîmputerniciților, astfel cum se menționează în Acordul nostru de prelucrare a datelor.

Răspunsul la incidente

Menținem un proces documentat de răspuns la incidente care acoperă detectarea, trierea, izolarea, eradicarea, recuperarea și examinarea ulterioară incidentului. În cazul unei încălcări a securității datelor cu caracter personal care afectează datele clienților, notificăm clienții afectați fără întârzieri nejustificate și îi sprijinim în îndeplinirea propriilor obligații de notificare, în conformitate cu GDPR și cu Acordul nostru de prelucrare a datelor.

Protecția datelor și confidențialitatea

Securitatea și confidențialitatea sunt tratate împreună. Aplicăm principiile reducerii la minimum a datelor și limitării scopului, prelucrăm datele cu caracter personal în conformitate cu GDPR și reglementăm prelucrarea efectuată în numele clienților prin Acordul nostru de prelucrare a datelor. Pentru detalii privind modul în care tratăm datele cu caracter personal, consultați Politica noastră de confidențialitate.

Raportarea unei vulnerabilități

Salutăm rapoartele din partea cercetătorilor în domeniul securității și a utilizatorilor. Dacă credeți că ați descoperit o vulnerabilitate de securitate în Carsdata.com, vă rugăm să ne contactați la adresa info@carsdata.com cu suficiente detalii pentru a reproduce problema. Vă solicităm să ne acordați o oportunitate rezonabilă de a investiga și de a remedia înainte de orice divulgare publică și să evitați accesarea ori modificarea datelor care nu vă aparțin. Vom confirma primirea raportului dumneavoastră și vă vom ține la curent cu privire la progresele noastre.