Blog

Certificarea ISO 27001 & soluțiile noastre de securitate cibernetică

Written by Smart Touch | 25.09.2023 06:03:32

Azi, mai mult ca niciodată, securitatea datelor este esențială pentru orice organizație. Cu volumul mare de documente și informații procesate zilnic, companiile au responsabilitatea de a proteja aceste date împotriva amenințărilor cibernetice și a pierderilor accidentale. Acest lucru devine cu atât mai important în cazul Apollo, platforma noastră de Intelligent Document Processing (IDP) care deservește toate departamentele și care se ocupă de gestionarea și prelucrarea unor cantități mari de documente, și, implicit, de date.

Un aspect cheie în asigurarea securității datelor este certificarea ISO 27001, un standard internațional pentru managementul securității informațiilor și oferă numeroase beneficii atât pentru dezvoltatorii de software, cât și pentru clienții acestora.

 

Ce este certificarea ISO 27001?

ISO 27001 este un standard internațional pentru managementul securității informațiilor, dezvoltat de Organizația Internațională de Standardizare (ISO). Acest standard stabilește cerințele pentru stabilirea, implementarea, menținerea și îmbunătățirea unui sistem de management al securității informațiilor (ISMS) în cadrul unei organizații. Scopul ISMS este de a proteja confidențialitatea, integritatea și disponibilitatea datelor și informațiilor organizației.

Pentru a obține certificarea ISO 27001, o organizație trebuie să îndeplinească o serie de cerințe stricte, să stabilească politici și proceduri de securitate, să identifice și să evalueze riscurile pentru securitatea informațiilor și să implementeze măsuri adecvate pentru reducerea acestor riscuri. Un audit independent verifică conformitatea cu standardul ISO 27001, iar obținerea certificării demonstrează angajamentul organizației față de securitatea informațiilor.

 

Suntem certificați ISO 27001.

 

Ce înseamnă asta pentru tine și compania ta?

  1. Protecție împotriva amenințărilor cibernetice

Certificarea ISO 27001 implică identificarea și gestionarea riscurilor pentru securitatea informațiilor. Obținerea standardului este încă o dovadă a faptului că primul nostru produs, Apollo, este dezvoltat și implementat cu măsuri de securitate stricte pentru a proteja datele cu care lucrăm împotriva amenințărilor cibernetice, cum ar fi atacurile de tip phishing, malware sau ransomware.

  1. Conformitate strictă cu reglementările în vigoare

ISO 27001 este recunoscută la nivel global și ajută dezvoltatorii de software, așa cum suntem și noi, să se conformeze cu reglementările în vigoare privind protecția datelor, cum ar fi Regulamentul General privind Protecția Datelor (GDPR) din Uniunea Europeană sau HIPAA din SUA.

  1. Reducerea riscului de data breach 

Implementarea măsurilor de securitate în conformitate cu ISO 27001 ajută la reducerea riscului de breșe de date și pierderi de informații.

  1. Îmbunătățirea proceselor și a managementului de date

Certificarea ISO 27001 necesită o abordare sistematică a securității informațiilor, ceea ce duce la optimizarea proceselor interne, la o mai bună gestionare a riscurilor și o mai mare eficiență în gestionarea datelor.

 

Obținerea certificării ISO 27001 este un element crucial în asigurarea securității datelor în Intelligent Document Processing, oferind beneficii semnificative atât pentru dezvoltatori, cât și pentru companiile care utilizează această soluție.

Dar la Smart Touch Technologies nu ne-am oprit aici.

 

Ce soluții suplimentare de protecție cibernetică folosim

 

1. Toate datele stocate de platforma Apollo sunt criptate folosind algoritmul Advanced Encryption Standard (AES), AES-256. Folosim o bibliotecă criptografică comună, Tink, care include modulul nostru validat FIPS 140-2, numit BoringCrypto, pentru a implementa criptarea în mod consecvent în toate componentele Apollo din cloud.

 

2. Fiecare document pe care îl procesăm inteligent are un identificator unic. Listele de control al accesului (ACL) ne ajută să ne asigurăm că fiecare document poate fi decriptat doar de către operatorii Smart Touch Technologies, care funcționează cu roluri autorizate și care au acces exclusiv în acel moment. Această limitare a accesului ne ajută să prevenim accesul neautorizat la date, consolidând securitatea și confidențialitatea datelor procesate de Apollo.

 

3. Criptarea pe care o folosim protejează documentele în 3 stări: at rest, in transit și in use, astfel:

Data-at-Rest, folosită pentru protejarea datelor stocate de Apollo. Criptarea at rest are următoarele beneficii:

- Dacă datele cad în mâinile unui hacker, acesta nu poate citi datele fără a avea acces și la cheile de criptare. Chiar dacă atacatorii obțin dispozitivele de stocare care conțin datele clienților noștri, nu vor putea să le înțeleagă sau să le decripteze. 

 - Reduce suprafața de atac*, în 2 moduri:

a) elimină straturile inferioare ale stivei hardware și software.

b) permite companiilor să își concentreze strategiile de protecție cibernetică asupra cheilor de criptare, în loc să fie nevoite să se protejeze toate datele.

 *prin suprafață de atac ne referim la punctele sau zonele dintr-un sistem sau rețea care sunt vulnerabile la posibile amenințări de securitate, atacuri cibernetice sau acces neautorizat. Adică toate punctele posibile de intrare sau vectorii de atac care ar putea fi exploatați pentru a compromite securitatea unui sistem sau a unei rețele.

- Acționează ca un punct de oprire, deoarece cheile de criptare gestionate central creează un singur loc în care se impune și se poate verifica accesul la date.

- Furnizează un mecanism important de protecție a confidențialității pentru clienții noștri. Atunci când datele sunt criptate at rest, accesul pe care sistemele și inginerii îl au la date și documente este limitat.

 

Data -In-Transit, respectiv criptarea datelor înainte de transmitere, autentificarea la ambele capete ale tranzitului, și decriptarea & verificarea la destinație. Folosim protocolul Transport Layer Security (TLS) pentru a cripta datele in transit în scopul securității transportului.

 

 

Data-In-Use, care protejează datele din documente prin criptarea acestora în timpul procesării. Pentru asta, folosim funcția de Confidential Computing a furnizorului nostru de cloud.  

 

În concluzie, la Smart Touch Technologies respectăm cu strictețe dreptul fiecărei persoane la protecția datelor cu caracter personal. Am adoptat măsuri pentru a ne conforma dispozițiilor legale prevăzute de Regulamentul UE 2016/679, GDPR, și ale celorlalte reglementări în vigoare, inclusiv obținerea certificării ISO 27001.  

Ne mândrim cu faptul că dezvoltarea platformei IDP Apollo a fost planificată și implementată având la bază principiul fundamental al privacy by design.

Securitatea și confidențialitatea datelor se află permanent în centrul preocupărilor noastre, fiind integrate în fiecare aspect al soluției pe care o oferim companiilor și organizațiilor care vor să își automatizeze procesele de business care implică documente.