Centrum Zaufania

Ustanawiamy surowe, przyjęte w branży polityki bezpieczeństwa informacji, które obejmują wszystkie procedury i strategie biznesowe.

Polityki bezpieczeństwa informacji IFS stanowią część naszego globalnego systemu zarządzania bezpieczeństwem informacji (ISMS) utrzymywanego zgodnie z wieloma ramami bezpieczeństwa uznawanymi na całym świecie, w tym normą ISO 27001.

Jak wykorzystujemy szczegółowe, sprawdzone praktyki w zakresie bezpieczeństwa, by zarządzać informacjami i je zabezpieczać.

W IFS stosujemy najlepsze praktyki branżowe i podejście oparte na analizie ryzyka, a także przykładamy szczególną wagę do realizowania szeregu sprawdzonych praktyk.

Centrum Operacji Bezpieczeństwa (Security Operations Center, SOC)
Nieustannie inwestujemy w bezpieczeństwo naszej platformy i sieci, a koordynacją tych działań zajmuje się nasze Centrum Operacji Bezpieczeństwa. Wykorzystując połączenie światowej klasy narzędzi konwencjonalnych i opartych na sztucznej inteligencji oraz regularnych testów penetracyjnych, zapewniamy nieustanny monitoring i ochronę naszych operacji biznesowych.

Kontrola dostępu
Nasze podejście do kontroli dostępu pozwala użytkownikom, partnerom i dostawcom jedynie na dostęp do niezbędnych informacji, które są potrzebne do efektywnej i sprawnej realizacji ich zadań.

W całym przedsiębiorstwie aktywowaliśmy pojedyncze logowanie (SSO) oraz uwierzytelnianie wieloskładnikowe (MFA). Szyfrujemy dane zarówno podczas przesyłania, jak i wtedy, gdy są nieaktywne, aby zapewnić najwyższy poziom bezpieczeństwa danych podczas każdego udostępniania informacji.

Ciągłość działania
Dzięki dokładnemu planowaniu ciągłości działania opracowaliśmy solidną politykę tworzenia kopii zapasowych i odzyskiwania, która jest centralną częścią naszego planu przywracania gotowości do pracy w sytuacji nadzwyczajnej. Wdrożyliśmy wytrzymałe systemy i procesy, które są w stanie wspierać nas w przypadku zdarzeń zakłócających ciągłość działania w jednej lub kilku naszych lokalizacjach operacyjnych.

Nasi pracownicy
Aby zapewnić fizyczne i cyfrowe bezpieczeństwo w środowisku pracy, prowadzimy dokładną weryfikację kandydatów przed zatrudnieniem, a także rygorystyczne szkolenia wprowadzające, a ponadto realizujemy ciągły, coroczny program szkoleń w zakresie bezpieczeństwa. Stosujemy formalne procesy przyjmowania i zwalniania pracowników, aby dbać o stałe, ścisłe monitorowanie dostępu do naszych domen IT oraz utrzymanie poufności informacji także po zakończeniu stosunku pracy.

Dbamy o to, by wszyscy zewnętrzni dostawcy wspierający świadczenie naszych usług stosowali takie same wysokie standardy, jak my.

Co jakiś czas może pojawić się konieczność udostępnienia podmiotom trzecim informacji wrażliwych i poufnych. Niezależnie od tego, czy dane informacje należą do IFS, czy do Klientów, wszystkie podmioty trzecie są zobowiązane do przestrzegania naszych polityk, standardów i procedur bezpieczeństwa informacji. Nasze procesy zarządzania dostawcami i partnerami pozwalają upewnić się, że usługi i materiały dostarczane przez współpracujące z nami podmioty trzecie spełniają takie same wysokie standardy jak te, które wyznaczamy dla własnych działań.

Cykl życia obsługi IFS to zestaw procesów obejmujących cały cykl wdrażania i produkcji. Od początkowego odkrycia i badania rozwiązań, aż po ich ciągłą optymalizację – nawet wiele lat po wprowadzeniu do użytku, bezpieczeństwo stanowi integralną część naszych procesów i obejmuje kwestie, takie jak segregacja środowisk, formalne zarządzanie zmianą, a także ściśle kontrolowane wydawanie i dystrybucja oprogramowania z uwzględnieniem rygorystycznej kontroli dostępu i ochrony danych.

Cykl życia obsługi IFS zapewnia powyższe środki kontroli bezpieczeństwa niezależnie od tego, czy klient zdecydował się na samodzielny hosting rozwiązania, czy na skorzystanie z naszej usługi IFS Cloud.

Minimalizujemy ryzyko podatności produktów dzięki przestrzeganiu bezpiecznych praktyk kodowania oraz wytycznych uznanych na całym świecie, takich jak OWASP Top 10.

Aby dodatkowo potwierdzić bezpieczeństwo produktów w całym cyklu ich opracowywania, korzystamy z usług zewnętrznych specjalistów wykonujących testy penetracyjne. Wszelkie potencjalne podatności są likwidowane przed wydaniem produktu.

Bezpieczeństwo nie polega na jednorazowym działaniu, dlatego kontynuujemy testowanie produktów także po ich wydaniu, aby zapewniać ochronę przed zmieniającymi się zagrożeniami bezpieczeństwa i powiązanymi podatnościami. Poszukujemy potencjalnych podatności na zagrożenia nie tylko w produktach IFS, ale także w produktach podmiotów trzecich, na których bazują rozwiązania IFS.

Dostarczamy poprawki bezpieczeństwa dla wszelkich podatności na zagrożenia wykrytych w naszych produktach, a także udzielamy wskazówek w sprawie niezbędnych poprawek produktów podmiotów trzecich, które nie są dostarczane przez IFS. Klienci usługi IFS Cloud nie muszą wdrażać tych poprawek samodzielnie, ponieważ są one stosowane przez IFS w ramach usługi.

Wybierając naszą usługę IFS Cloud, klienci wiedzą, że wykorzystujemy najlepsze praktyki zapewniające bezpieczeństwo chmury, do których należą:

• Bezpieczna, w pełni podzielona architektura single-tenant, która zapewnia odseparowanie środowisk klientów
• Szyfrowanie danych nieaktywnych i podczas przesyłania
• Ochrona przed wirusami i złośliwym oprogramowaniem
• Usługi monitorowania, wykrywania i naprawy w trybie 24/7/365, z wykorzystaniem zaawansowanych zestawów narzędzi klasy korporacyjnej obsługiwanych przez doświadczonych praktyków
• Wykrywanie i ochrona przed atakami DDoS na poziomie platformy
• Wielopoziomowe kopie zapasowe przechowywane w oddzielnych lokalizacjach i możliwość wielopoziomowego przywracania
• Możliwość odzyskania awaryjnego do odrębnej lokalizacji

We engage an independent 3rd party specialist organization to run regular security penetration tests against our Cloud Service in addition to security testing performed earlier in the product lifecycle. These tests cover all software versions current at the time of testing and include all IFS core product modules.

Testing takes place from the internet towards a dedicated, production-grade environment, which is built and maintained using the same architecture, design standards, tooling and processes as all customer environments run by IFS in our cloud.

A formal report is compiled as an output of this testing process, detailing any issues found and assigning an associated risk rating, based on the industry standard CVSSv2 scoring system. Any issues identified are fully analyzed and mitigation and remediation plans produced and implemented. The summary of findings and remediations is available to all IFS Cloud customers upon request.

Klienci, którzy mają wymagania dotyczące lokalizacji danych, mogą wybierać spośród wielu obsługiwanych obszarów geograficznych. To determinuje fizyczną lokalizację, z której będzie oferowana usługa, a tym samym fizyczną lokalizację przechowywania i przetwarzania ich danych.

Dbając o utrzymanie solidnego zestawu polityk, praktyk i procedur, korzystamy ze specjalistycznej wiedzy na temat ochrony prywatności danych, jaką dysponuje nasz wewnętrzny zespół, a także zasięgamy opinii u zewnętrznych specjalistów w dziedzinie ochrony danych. Takie działanie skutecznie oddziela pierwszą i drugą linię ochrony zgodnie z najlepszymi praktykami.

Bezpieczeństwo jest wbudowane w każdy produkt, niezależnie od metody hostingu. Wszystko zaczyna się od bezpiecznych procesów opracowywania produktów, podczas których upewniamy się, że produkty są projektowane z myślą o bezpieczeństwie i konfigurowane tak, by domyślnie zapewniać bezpieczeństwo.

W IFS dokładnie monitorujemy wyniki dostawców, zapewniając realizację wszystkich wymogów wynikających z umów, a także wymagań dotyczących jakości i bezpieczeństwa informacji. Zawieramy między innymi umowy umożliwiające audyt procesów i procedur bezpieczeństwa stosowanych przez dostawców. Poprzez nasz globalny program ochrony prywatności dbamy o to, by przesyłanie danych z EOG do podwykonawców przetwarzania (w tym Podmiotów powiązanych IFS) w innych krajach odbywało się w sposób zgodny z prawem. Wdrożyliśmy szereg standardowych klauzul umownych i innych zgodnych z prawem mechanizmów przesyłania danych obowiązujących każdego podwykonawcę przetwarzania, a także zapewniamy stosowanie odpowiednich środków technicznych i organizacyjnych w celu ochrony danych naszych klientów.

Klienci otrzymują od nas wstępnie podpisany Aneks dotyczący przetwarzania danych. Odnosi się on do przetwarzania przez IFS danych, których administratorem jest klient, zgodnie z przepisami o ochronie prywatności danych. Aneks zawiera opis wszystkich czynności przetwarzania wykonywanych przez IFS podczas realizacji usług określonych w umowach z klientami. Aneks obejmuje następujące przepisy o ochronie prywatności danych: ogólne rozporządzenie o ochronie danych osobowych (RODO) oraz kalifornijską ustawę o ochronie prywatności konsumentów (California Consumer Privacy Act, CCPA). Zapewniamy również aneksy zawierające standardowe klauzule umowne.