Informační bezpečnost
Cílem informační bezpečnosti je zajištění důvěrnosti, dostupnosti a integrity informací.
Direct Fidoo Payments s.r.o. (dále jen „Společnost“) je platební instituce s oprávněním poskytovat platební služby v rozsahu udělené licence pod regulatorním dohledem České národní banky. Společnost je zapsaná v Seznamech regulovaných a registrovaných subjektů finančního trhu – Přímé vyhledávání subjektů finančního trhu (cnb.cz).
Společnost považuje informační bezpečnost za nedílnou součást ochrany svých hodnot a za způsob budování důvěry klientů.
Za tímto účelem má Společnost ustanoven dedikovaný tým informační bezpečnosti. Tento tým zavedl a řídí informační bezpečnost v souladu s platnými regulatorními a legislativními požadavky a dle dobré praxe, s přihlédnutím k mezinárodní normě ISO/IEC 27001. Celý proces zavádění a zvyšování úrovně informační bezpečnosti je prováděn iterativně, metodou PDCA (Plan-Do-Check-Act).
Opatření dle jednotlivých oblastí
(dle mezinárodního standardu ISO/IEC 27001)
Vedení Společnosti přijalo a schválilo „Politiku bezpečnosti informací“ jako základní předpis, který popisuje zásady řízení a cíle informační bezpečnosti a který obsahuje závazek vedení aktivně bezpečnost podporovat. Na tento základní předpis navazují další, jejichž struktura je zohledněna níže.
Pro zajištění této oblasti jsou ve společnosti:
- Definovány role a odpovědnosti v oblasti IB.
- Zaveden princip oddělení povinností.
- Udržovány vztahy s příslušnými orgány a autoritami, stejně tak prostřednictvím interního bezpečnostního týmu se zájmovými skupinami a profesními sdruženími.
- Bezpečnost informací v řízení projektů.
- Je zavedena politika používání mobilních zařízení.
- Vytvořena a implementována politika práce na dálku.
Bezpečnost lidských zdrojů je zajišťována jak před vznikem samotného pracovního vztahu, tak během něj a samozřejmě i po jeho ukončení. Jednotlivé cíle v této oblasti dosahujeme:
- Prověřováním kandidátů (interní i externí zaměstnanci, třetí strany) dle platné legislativy a s ohledem na povahu aktiv, se kterými budou při výkonu své práce přicházet do styku.
- Smluvními ujednáními obsahujícími i odpovědnost za bezpečnost informací, včetně povinností po skončení smluvního vztahu.
- Pravidelnými i mimořádnými školeními v oblasti IB.
- Zaveden proces disciplinárního řízení.
Společnost má identifikovaná aktiva, která souvisí s informacemi a zpracováním informací a má definované vlastníky těchto aktiv. K těmto aktivům má definovaná pravidla přípustného použití, včetně povinného vrácení v případě ukončení smluvního vztahu.
Společnost má zaveden DLP systém pro sledování citlivých a osobních informací. Vyhodnocování událostí je prováděno v centrálním managementu provozovaného nástroje.
Cílem v oblasti řízení přístupů je, aby každý uživatel měl potřebná oprávnění ke své práci, předcházet neautorizovanému přístupu k systémům a aplikacím a odpovědnost uživatelů za ochranu jejich autentizačních informací.
Řízení přístupů je založeno na principu nejnižších oprávnění. Řízení rolí je prováděno tak aby byla dodržována zásada oddělení pravomocí. Pro zajištění výše uvedených požadavků byl zaveden systém IDM (Identity management) a procesy, jež zajištují povinnosti a odpovědnosti ve všech fázích cyklu User managementu a Access managementu (založení/zrušení uživatele, žádost, schválení, přidělení, editace, zrušení oprávnění).
Zvláštní pozornost je věnována předávání a používání tajných autentizačních informací a řízení privilegovaných účtů. Jejich počet je omezen na nezbytně nutné minimum, smí být používána jen pro definované účely a jejich použití je monitorováno.
Politika pro použití kryptografických opatření a správy klíčů je vytvořena a zavedena.
Společnost provozuje své produkční, vývojové a testovací prostředí v cloudovém prostředí datového centra O2, které zajištuje fyzickou bezpečnost před vstupem nepovolaných osob, proti přírodním katastrofám, úmyslným útokům, haváriím a výpadkům sítě. Všechna prostředí jsou vzájemně logicky oddělena. Hostingové centrum O2 je držitelem certifikace na úroveň TIER3+.
Prostředky O2 Cloud jsou chráněné podle bezpečnostních norem ISO 27017 a 27018. Veškeré datové přenosy, webové konzole a vzdálené konzole virtuálních serverů jsou zabezpečeny pomocí bezpečnostních prostředků hostingového centra. Data proudící přes internet jsou chráněna SSL Certifikáty, které poskytují dokonce lepší ochranu než standard ISO 27001:2005.
Kanceláře a provozní serverovna pro backoffice systémy jsou chráněny přístupovým a kamerovým systémem. Ve společnosti platí zásada čistého stolu ve vztahu k dokumentům a výměnným paměťovým médiím a zásada prázdné obrazovky monitoru u vybavení pro Zpracování informací.
Pro zajištění bezpečnosti provozu jsou k dispozici dokumentované provozní postupy. Je striktně odděleno prostředí produkce od vývojového a testovacího. Společnost má zavedeno řízení změn a sledování dostupných kapacit.
Na ochranu proti malware jsou implementovány systémy pro jeho prevenci a detekci.
Veškerá produkční data stejně jako další jejichž povaha vyžaduje vysokou dostupnost jsou pravidelně zálohována.
Logy ze všech systémů musí splňovat interní požadavky na jejich obsah a formu a jsou napojeny na centrální SIEM (Security Information and Event Management). Ten zajištuje sběr, korelace, automatické analýzy (například UBA) a archivaci logů pro účely detekce bezpečnostních rizik a zajištění důkazů. Přistup k logům uložených v SIEM je řízen na základě interní politiky, zajištující jejich ochranu před zfalšováním nebo zničením. Jedním z faktorů zajištění důvěryhodnosti logů stejně jako informací ze všech systémů je zavedení synchronizace času vůči jedinému zdroji. Logy neobsahují citlivé údaje jako hesla, PINy, atd.
Výběr, pořízení a instalace SW podléhá interním předpisům.
Na ochranu před technickými zranitelnostmi používaných informačních systémů je zaveden a provozován VM (Vulnerability management). Tento nástroj provádí automatizované skeny všech koncových zařízení několikrát týdně, a zjištěné nové zranitelnosti jsou řešeny dle best practices. Samozřejmostí je pravidelné aktualizování a patchování všech provozovaných informačních systémů.
Segmentace sítě, FW (Identity-Based Firewall Policy) terminálové služby, webfiltering, DDoS protection, redundantní opatření a další technická a procesní opatření jsou samozřejmostí pro nezbytné zajištění komunikační bezpečnosti. Veškerá elektronická komunikace s Direct Fidoo je zabezpečena pomocí TLS 1.2 nebo vyšší.
Při nákupu nových informačních systémů nebo rozšíření existujících jsou definovány bezpečnostní požadavky. Přenášené informace a transakční data jsou chráněny tak aby nedocházelo k neúplnému přenosu informací, chybnému směrování, neoprávněné změně, vyzrazení, duplikaci nebo opakování.
K testování se používají anonymizovaná data, tam kde to možné není, je na ně aplikována stejná úroveň bezpečnosti jako na produkční data.
Bezpečnostní požadavky má společnost zahrnuty v pravidlech pro vývoj a řízení změn v systémech v rámci celého životního cyklu zahrnující. Součástí bezpečnosti vývoje aplikací je i provádění školení oddělení interního vývoje. Vývojové prostředí je chráněno, a součástí vývoje jsou penetrační testy certifikovaným ethical hackerem (EC-council certified Security specialist). Případné zranitelnosti jsou dle typu kritičnosti odstraňovány před samotným release.
V případě nákupu nových informačních systémů, instalace aktualizací a nových verzí IS jsou tyto testovány před samotným nasazením.
Bezpečnostní opatření a záruky společnost vyžaduje i v případě dodavatelských vztahů. V případech, kdy je to relevantní k povaze předávaných/zpřístupněných dat a systémů jsou požadavky zakotveny smluvně. Součástí smluvní dokumentace jsou i požadavky na zajištění požadované úrovně služeb, a tyto jsou pravidelně vyhodnocovány a kontrolovány.
Pro účely incident managementu má společnost vypracován závazný interní předpis s odpovědnostmi a závaznými postupy, a aplikaci pro evidenci a přehled nad jednotlivými událostmi, jejich stavu, formě řešení, odpovědných osobách a navržených preventivních opatřeních. Tyto požadavky jsou smluvně zakotveny i s třetíma stranami.
Pro zajištění kontinuity provozu má společnost vypracován plán zvládání krizových situací, jehož součástí jsou i požadavky na dodržení bezpečnosti informací. Kontinuita provozu produkčního prostředí je zajištěna smluvně v provozovatelem datového centra O2.
Společnost přísně dbá na dodržování veškerých zákonných, předpisových a smluvních požadavků.
Kromě samotných provozně technických opatření popsaných výše, jsou do samotné business aplikace implementována tato opatření:
- Hesla chráněná hashovací funkcí Bcrypt
- Komplexnost hesla
- Penetrační testy
- Automatické odhlašování po určité době nečinnosti
- Granulární nastavení rolí
- 2FA autentizace
- V mobilní aplikaci možnost biometrie
- Bezpečné prostředí datového centra O2
- Blokace přihlášení: Přihlášení je blokováno, pokud má uživatel za 10 minut více než 5 špatných pokusů o přihlášení
- Certificate pinning