В продолжении предыдущего поста про безопасность - что в итоге мы улучшили: - Проведен пентест и будет проводиться на ежегодной основе; - Получили сертификат ISO 27001 (международный стандарт по информационной безопасности); - Разработаны процедуры по мониторингу и обновлению софта на серверах. На серверной стороне используем Nessus, для еженедельного отслеживания важных обновлений софта; - Включено минимальное версия протокола TLS 1.2, ранее поддерживались и более старые версии; - У всех наших сотрудников включена двухфакторная авторизация по умолчанию. А для доступа в админку используется трехфакторная авторизация; - Клиенты могут включить двухфакторную авторизацию на странице; - Раньше у нас можно было установить любой пароль из 6 символов, теперь же требования к паролям куда жестче. Минимум 8 символов, наличие цифр, букв и т.д. - В паре мест пользователь мог увидеть в адресной строке свой токен. Это не является особой проблемой, но мы скрыли токены абсолютно везде; - У нашего саппорта и разработчиков есть инструменты для проверки прав у токенов и проверки ответа API. Например, мы передавали сюда developers.facebook.com/tools/d…esstoken токен пользователя и смотрели на права. Теперь у нас есть свой инструмент для этого, т.е. наши сотрудники не имеют доступа к токену, видят только результат. Аналогично и для проверки работы с API, раньше формировался URL, по которому мы могли смотреть результат выполнения. А теперь внутренний инструмент дает результат, и не показывает токен; - Мы сами везде используем двухфакторную авторизацию в важных местах, сейчас активнее следим и за нашими сотрудниками; - И еще некоторые другие улучшения. Эта проверка — еще один важный пункт в усилении работы нашей платформы. Кроме того, у нас уже запланированы работы в этом же направлении. 😉