Saugumo politika
Paskutinį kartą atnaujinta: 2026 m. sausio 16 d.
Ši saugumo politika apibūdina, kaip Domain (toliau – „mes", „mūsų") užtikrina naudotojų duomenų ir sistemos infrastruktūros apsaugą. Politika taikoma visiems asmenims, besinaudojantiems mūsų paslaugomis per nasukerib.info.
1. Įsipareigojimas saugumui
Mes skiriame ypatingą dėmesį naudotojų duomenų konfidencialumui, vientisumui ir prieinamumui. Saugumo principai integruoti į visus paslaugų kūrimo, diegimo ir priežiūros etapus. Mūsų komanda nuolat stebi ir tobulina apsaugos priemones, atsižvelgdama į naujausius kibernetinio saugumo standartus.
2. Duomenų perdavimo sauga
2.1. Šifravimas perduodant duomenis
Visi duomenų srautai tarp naudotojo įrenginio ir mūsų serverių yra šifruojami naudojant TLS (Transport Layer Security) protokolą. Mes naudojame ne žemesnę nei TLS 1.2 versiją. Ryšiai per neapsaugotus protokolus yra automatiškai nukreipiami į saugų HTTPS kanalą.
2.2. Sertifikatų valdymas
Mūsų SSL/TLS sertifikatai išduodami patikimų sertifikavimo institucijų ir reguliariai atnaujinami. Mes taikome HSTS (HTTP Strict Transport Security) politiką, kuri užtikrina, kad naršyklės visada naudotų šifruotą ryšį.
3. Duomenų saugojimo sauga
3.1. Duomenų bazių apsauga
Saugomi duomenys šifruojami naudojant pramonės standartus atitinkančius algoritmus. Prieiga prie duomenų bazių yra griežtai ribojama – tik įgalioti darbuotojai gali pasiekti gamybines sistemas, ir tik tada, kai tai būtina atliekant jų pareigas.
3.2. Atsarginės kopijos
Duomenų atsarginės kopijos daromos reguliariai ir saugomos atskirose, geografiškai paskirstytose vietose. Atsarginės kopijos taip pat yra šifruotos. Atkūrimo procedūros periodiškai testuojamos, siekiant užtikrinti duomenų atstatymo galimybę incidento atveju.
4. Prieigos kontrolė
4.1. Autentifikavimas
Naudotojų paskyros apsaugotos slaptažodžiais, kurie saugomi naudojant kriptografinius maišos algoritmus su druska (salted hashing). Mes rekomenduojame naudotojams įjungti dviejų veiksnių autentifikavimą (2FA), kuris suteikia papildomą apsaugos lygį.
4.2. Mažiausių privilegijų principas
Visi sistemos naudotojai ir darbuotojai turi tik tiek prieigos teisių, kiek reikalinga jų funkcijoms atlikti. Prieigos teisės reguliariai peržiūrimos ir koreguojamos. Neaktyvios paskyros yra blokuojamos pagal nustatytus terminus.
4.3. Sesijų valdymas
Naudotojų sesijos automatiškai baigiasi po neaktyvumo laikotarpio. Sesijų žetonai yra generuojami naudojant kriptografiškai saugius generatorius ir reguliariai atnaujinami.
5. Infrastruktūros sauga
5.1. Tinklo apsauga
Mūsų infrastruktūra yra apsaugota ugniasienėmis ir įsibrovimų aptikimo sistemomis. Tinklas segmentuotas taip, kad galimas pažeidimas vienoje srityje neturėtų įtakos kitoms sistemos dalims. Neįprasta tinklo veikla stebima realiu laiku.
5.2. DDoS apsauga
Mes taikome paskirstytų paslaugų atsisakymo (DDoS) atakų prevencijos priemones. Eismo analizė leidžia anksti aptikti ir neutralizuoti kenkėjiškas užklausas, netrukdant teisėtiems naudotojams naudotis paslaugomis.
5.3. Serverių aplinka
Serveriai reguliariai atnaujinami, siekiant pašalinti žinomas saugumo spragas. Nenaudojamos paslaugos ir prievadai yra išjungiami. Konfigūracijos audituojamos pagal saugumo kietinimo (hardening) geriausias praktikas.
6. Programinio kodo sauga
6.1. Saugaus kūrimo praktikos
Programinė įranga kuriama laikantis saugaus programavimo principų. Kodas praeina peržiūros procesą prieš patalpinant į gamybos aplinką. Naudojamos automatizuotos priemonės žinomoms pažeidžiamumams aptikti.
6.2. Priklausomybių valdymas
Trečiųjų šalių bibliotekos ir komponentai reguliariai atnaujinami. Stebimos žinomos saugumo spragos (CVE) naudojamose priklausomybėse ir operatyviai reaguojama į kritines saugumo problemas.
6.3. Apsauga nuo dažniausių atakų
Sistemoje taikomos apsaugos priemonės nuo šių pažeidžiamumų:
- SQL injekcijų (SQL Injection)
- Kryžminio svetainių scenarijų (XSS)
- Kryžminių užklausų klastojimo (CSRF)
- Nesaugios tiesioginės objektų nuorodos (IDOR)
- Nesaugios deserializacijos
7. Incidentų valdymas
7.1. Aptikimas ir reagavimas
Mes esame diegę procedūras, leidžiančias laiku aptikti ir reaguoti į saugumo incidentus. Incidentų valdymo planas apibrėžia atsakomybių pasiskirstymą, eskalavimo kelius ir komunikacijos protokolus.
7.2. Pranešimas naudotojams
Jei saugumo incidentas paveikia naudotojų duomenis, mes informuosime nukentėjusius naudotojus per pagrįstą laiką po incidento nustatymo. Pranešime bus aprašyta incidento esmė, paveikti duomenys ir rekomendacijos naudotojams.
7.3. Mokymai iš incidentų
Po kiekvieno reikšmingo saugumo incidento atliekama analizė, siekiant nustatyti priežastis ir užkirsti kelią panašiems įvykiams ateityje. Išvados integruojamos į saugumo procesų tobulinimą.
8. Fizinė sauga
Duomenų centrai, kuriuose laikoma mūsų infrastruktūra, turi fizinės prieigos kontrolės sistemas. Prieigą prie serverių patalpų turi tik įgalioti asmenys. Duomenų centrai veikia pagal tarptautinius saugumo standartus.
9. Atitiktis ir auditai
9.1. Periodiniai vertinimai
Mūsų saugumo praktikos periodiškai vertinamos vidinių ir išorinių specialistų. Pažeidžiamumo testai (penetration testing) atliekami reguliariai, siekiant nustatyti galimas silpnąsias vietas.
9.2. Žurnalų kaupimas
Sistemos veiklos žurnalai kaupiami ir saugomi nustatytą laikotarpį. Žurnalai naudojami anomalijų aptikimui, incidentų tyrimui ir atitikties tikslais. Prieiga prie žurnalų yra kontroliuojama.
10. Trečiųjų šalių paslaugų teikėjai
Pasirinkdami trečiųjų šalių paslaugų teikėjus, vertiname jų saugumo praktikas. Su paslaugų teikėjais sudaromos sutartys, kuriose apibrėžiami duomenų apsaugos reikalavimai. Mes periodiškai peržiūrime trečiųjų šalių atitiktį mūsų saugumo standartams.
11. Naudotojų atsakomybė
Saugumas yra bendra atsakomybė. Mes rekomenduojame naudotojams:
- Naudoti stiprius, unikalius slaptažodžius kiekvienai paskyrai
- Įjungti dviejų veiksnių autentifikavimą, jei tokia galimybė siūloma
- Nedalintis prisijungimo duomenimis su trečiaisiais asmenimis
- Naudoti naujausias naršyklių ir operacinių sistemų versijas
- Laiku pranešti apie įtartiną veiklą ar galimus pažeidimus
12. Pažeidžiamumų atskleidimo programa
Jei aptikote saugumo pažeidžiamumą mūsų sistemose, prašome atsakingai apie tai pranešti mums el. paštu [email protected]. Mes įsipareigojame laiku reaguoti į tokius pranešimus, bendradarbiauti su tyrėjais ir informuoti apie taisomųjų veiksmų eigą. Prašome neatskleisti pažeidžiamumo viešai, kol mes neturėjome galimybės jo išspręsti.
13. Politikos atnaujinimai
Ši saugumo politika gali būti atnaujinama, siekiant atspindėti technologijų pokyčius, naujus teisinius reikalavimus ar mūsų praktikų tobulinimą. Apie reikšmingus pakeitimus informuosime naudotojus per el. paštą arba skelbimą mūsų svetainėje. Rekomenduojame periodiškai perskaityti šią politiką.
14. Kontaktai
Klausimus dėl šios saugumo politikos ar susirūpinimą dėl mūsų saugumo praktikų galite siųsti:
| Ryšio būdas | Informacija |
|---|---|
| El. paštas | [email protected] |
| Telefonas | +37044857820 |
| Adresas | Žygio g. 90, Vilnius 08236, Lietuva |
| Svetainė | nasukerib.info |