Bezpieczeństwo - FAQ
Uwierzytelnianie i autoryzacja
Jak oprogramowanie obsługuje uwierzytelnianie użytkowników?
Stosujemy standard OpenID Connect, który jest powszechnie używany w branży.
Usuń
Jakie typy ról użytkowników i uprawnień są obsługiwane?
TeamOne definiuje role użytkowników i uprawnienia na poziomie zespołu, tablicy i projektu, zgodnie z opisem w tym artykule.
Usuń
Czy dostępne jest uwierzytelnianie wieloskładnikowe?
Tak, uwierzytelnianie wieloskładnikowe (MFA) jest dostępne poprzez włączenie 2FA. Google Authenticator może być używany jako bezpieczny mechanizm uwierzytelniania. Zobacz, jak włączyć 2FA w swoim koncie myViewBoard.
Usuń
Szyfrowanie danych
Jak szyfrowane są wrażliwe dane podczas transmisji i przechowywania?
Wszystkie dane są szyfrowane podczas transmisji za pomocą HTTPS, a wrażliwe dane są szyfrowane w magazynie za pomocą szyfrowania AWS RDS.
Usuń
Jakie algorytmy i protokoły szyfrowania są używane?
Używamy HTTPS z TLS 1.3 do szyfrowania transmisji danych oraz RDS AES256 do szyfrowania danych w magazynie.
Usuń
Czy istnieją praktyki zarządzania kluczami szyfrowania?
Tak, zarządzanie kluczami szyfrowania odbywa się za pomocą AWS Key Management Service (KMS).
Usuń
Zarządzanie podatnościami
Jak oprogramowanie obsługuje poprawki bezpieczeństwa i aktualizacje?
TeamOne stosuje DevSecOps do aktualizacji bezpieczeństwa, integrując DAST (Dynamic Application Security Test), testy automatyczne i ciągłe wdrażanie, aby zapewnić solidne i aktualne środki bezpieczeństwa.
Usuń
Czy istnieje proces rozwiązywania podatności wykrytych podczas fazy beta?
Poprzez integrację DevSecOps, podatności wykryte w fazie beta są rozwiązywane za pomocą SAST (Statyczne testowanie bezpieczeństwa aplikacji)/przeglądu koleżeńskiego podczas fazy rozwoju oraz DAST i testów zespołu czerwonego w fazie wdrożenia, kładąc nacisk na proaktywne bezpieczeństwo we wszystkich fazach w celu skutecznego ograniczenia ryzyka.
Usuń
Jak często przeprowadzane są skanowania i oceny bezpieczeństwa?
Skanowanie bezpieczeństwa kodu odbywa się przy każdym buildzie, a skanowania i oceny bezpieczeństwa są przeprowadzane co pół roku.
Usuń
Kontrola dostępu
Jakie mechanizmy są stosowane do kontrolowania dostępu do wrażliwych funkcji lub danych?
TeamOne priorytetowo traktuje ścisłą kontrolę dostępu, wykorzystując kontrolę dostępu opartą na rolach (RBAC) do precyzyjnego zarządzania uprawnieniami, w połączeniu z zaporą aplikacji internetowej (WAF) w celu wzmocnienia ochrony przed nieautoryzowanym dostępem, zapewniając solidne bezpieczeństwo dla Twoich wrażliwych informacji.
Usuń
Czy istnieje wsparcie dla kontroli dostępu opartej na rolach (RBAC)?
TeamOne wprowadza kontrolę dostępu opartą na rolach na poziomie zespołu, tablicy i projektu, zgodnie z opisem w tym artykule.
Usuń
Czy dostęp może być ograniczony na podstawie adresu IP lub lokalizacji geograficznej?
Chociaż dostęp może być ograniczony na podstawie adresu IP lub lokalizacji geograficznej, funkcja ta nie jest obecnie wdrożona. Technicznie jest to możliwe w zależności od wymagań. Na przykład w profilu zespołu administrator mógłby wprowadzić określone adresy IP lub regiony, aby ograniczyć dostęp. Jednak jednym z ryzyk jest możliwość błędnego wprowadzenia adresu IP przez administratora, co mogłoby prowadzić do problemów, jeśli nie można go poprawić.
Usuń
Co dzieje się z członkami zespołu, którzy opuścili organizację (nieaktywne konta), co dzieje się z ich tablicami?
Administrator zespołu ma uprawnienia do przypisania innego administratora do zarządzania zespołem. Inni użytkownicy w tym samym zespole nadal mogą uzyskać dostęp do tablic, umożliwiając ciągły dostęp dla członków zespołu.
Usuń
Rejestrowanie audytów
Czy oprogramowanie zapewnia kompleksowe rejestry audytów?
Kompleksowe rejestry audytów dla celów klientów nie są obecnie zaprojektowane. Jednak wszystkie rejestry transakcji mogą być śledzone w okresie 7 dni.
Usuń
Jakie działania są rejestrowane i czy rejestry mogą być bezpiecznie przechowywane i analizowane?
Wszystkie działania są rejestrowane, a rejestry są szyfrowane za pomocą AES256 przy użyciu zabezpieczonego klucza szyfrowania.
Usuń
Bezpieczna komunikacja
Jak zabezpieczane są komunikacje między klientami a serwerami?
TeamOne zabezpiecza komunikację klient-serwer za pomocą HTTPS do szyfrowania, zapór aplikacji internetowych (WAF) do obrony przed zagrożeniami, ścisłych kontroli dostępu oraz szyfrowania danych zarówno podczas transferu, jak i przechowywania, zapewniając solidną ochronę Twoich informacji.
Usuń
Czy Transport Layer Security (TLS) jest używany do szyfrowania?
Tak, TeamOne używa TLS 1.3 do szyfrowania Transport Layer Security (TLS).
Usuń
Czy istnieją protokoły zapobiegające atakom typu man-in-the-middle?
Aby zapobiec atakom typu man-in-the-middle, TeamOne wykorzystuje protokół HTTPS, zapewniając bezpieczną i szyfrowaną komunikację. Dodatkowo stosowane są zapory aplikacji internetowych (WAF) do obrony przed zagrożeniami oraz rygorystyczne kontrole dostępu w celu ochrony danych w tranzycie i magazynie.
Usuń
Polityka danych, prywatność danych i zgodność
Czy oprogramowanie jest zgodne z odpowiednimi regulacjami dotyczącymi prywatności danych (np. GDPR, HIPAA)?
TeamOne jest zgodny z regulacjami GDPR, zgodnie z naszą polityką prywatności dostępną pod adresem https://TeamOne.viewsonic.com/legal/privacy-policy.
Usuń
Jak są obsługiwane i chronione dane osobowe?
TeamOne nie zbiera bezpośrednio danych osobowych. Zamiast tego wykorzystuje konto ViewSonic jako dostawcę tożsamości, aby zapewnić zwiększone bezpieczeństwo Twoich danych osobowych. Jako aplikacja, TeamOne nie przechowuje ani nie ma bezpośredniego dostępu do Twoich danych osobowych. Wszystkie informacje osobiste pozostają w systemie konta ViewSonic, a TeamOne uzyskuje do nich dostęp tylko za pomocą tokena o ograniczonym czasie ważności w celu zarządzania kontrolą dostępu.
Usuń
Czy istnieją mechanizmy umożliwiające użytkownikom kontrolowanie ustawień prywatności danych?
TeamOne udostępni menu ustawień, w których użytkownicy będą mogli dostosować swoje dane prywatności, w tym przeglądać swoje informacje i edytować ustawienia prywatności. Te ustawienia będą dostępne poprzez ustawienia konta lub pulpit prywatności.
Usuń
Co się dzieje, jeśli użytkownicy beta nie subskrybowali i gdzie/jak ViewSonic przechowuje ich dane?
Ci użytkownicy beta zostaną zdegradowani do indywidualnego darmowego planu, a ich tablice nadal będą dostępne. TeamOne wykorzystuje AWS jako naszego dostawcę wsparcia, zapewniając standardy przemysłowe dla transakcji i danych. Dane tablic użytkowników będą znajdować się w tym samym regionie, który został wybrany w koncie ViewSonic.
Usuń
Czy TeamOne posiada jakiekolwiek certyfikaty bezpieczeństwa?
Chociaż TeamOne obecnie nie posiada żadnych certyfikatów bezpieczeństwa, ViewSonic utrzymuje certyfikat ISO 27001 w dobrym stanie. Dodatkowo nasz dostawca hostingu AWS przestrzega większości standardów bezpieczeństwa w branży.
Usuń
Czy mogę zażądać usunięcia mojego konta i danych w TeamOne?
Jeśli potrzebujesz całkowicie usunąć swoje dane, wykonaj jedną z poniższych czynności:
-
Dla użytkowników jednostek:
Skontaktuj się ze swoim administratorem systemu i poproś go o usunięcie konta.
-
Dla użytkowników indywidualnych:
Przejdź do strony Ustawienia konta tutaj, aby usunąć swoje konto:
W przypadku problemów z usunięciem danych prosimy o przesłanie zgłoszenia do pomocy technicznej tutaj, a nasz specjalista pomoże:
Usuń
Kto może uzyskać dostęp do moich danych w TeamOne?
Poprzez wdrożenie praktyk DevSecOps, TeamOne zabrania jakimkolwiek deweloperom operacyjnego „dotykania” bazy danych produkcyjnej. Dodatkowo, zgodnie z wcześniej zdefiniowanymi rolami, nikt nie powinien bezpośrednio uzyskiwać dostępu do żadnych danych produkcyjnych w ViewSonic.
Usuń
Reakcja na incydenty
Jaki jest proces reagowania na incydenty bezpieczeństwa lub naruszenia?
Obsługa incydentów dla TeamOne odbywa się zgodnie z wytycznymi zawartymi w myViewBoard Security Whitepaper.
Usuń
Czy istnieje wyznaczony zespół ds. bezpieczeństwa odpowiedzialny za reakcję na incydenty?
Zespół ds. bezpieczeństwa TeamOne dokumentuje wszystkie kroki odzyskiwania podjęte podczas incydentów i przedstawia je jako studia przypadków w celu uzyskania wskazówek i zapobiegania. Szczegółowe zadania i rejestry zebrane podczas procesu obsługi incydentów będą wymienione w wewnętrznym katalogu TeamOne, udostępnionym wyłącznie wewnętrznemu zespołowi ds. rozwoju oprogramowania. Wszystkie zgłoszone problemy będą również wymienione w naszym wewnętrznym katalogu i udostępnione zespołowi bez żadnych danych identyfikujących klientów.
Usuń
Czy klienci są szybko powiadamiani w przypadku incydentu bezpieczeństwa?
Klienci są szybko powiadamiani w zależności od powagi, rodzaju i wpływu incydentu bezpieczeństwa. W razie potrzeby powiadomienia są wysyłane e-mailem, aby zapewnić terminową komunikację.
Usuń
Integracje zewnętrzne i zależności
Czy w oprogramowaniu są używane jakiekolwiek biblioteki lub komponenty zewnętrzne?
Tak, TeamOne wykorzystuje biblioteki zewnętrzne, które są poddawane rygorystycznej analizie przez nasze narzędzie SAST wyposażone w inteligentną analizę składu oprogramowania (SCA), aby zapewnić ich bezpieczeństwo przed integracją.
Usuń
Jak zarządzane są zależności i czy są regularnie aktualizowane pod kątem poprawek bezpieczeństwa?
TeamOne wykorzystuje DevSecOps do zarządzania zależnościami i regularnie je aktualizuje pod kątem bezpieczeństwa. Przeprowadzamy Dynamic Application Security Testing (DAST) i testy zespołu czerwonego podczas wdrożenia w celu dokładnej weryfikacji bezpieczeństwa, zapewniając ciągłą ochronę.
Usuń
System alertów bezpieczeństwa
Czy oprogramowanie posiada system alertów bezpieczeństwa? System ten powinien szybko powiadamiać o wszelkich nieprawidłowych działaniach wykrytych na Twoich systemach komputerowych (takich jak nieautoryzowane zmiany lub nieznane logowania).
TeamOne wykorzystuje zaporę aplikacji internetowej (WAF) wraz z kontrolą dostępu opartą na rolach, aby szybko wykrywać i reagować na nieprawidłowe działania, takie jak nieautoryzowane zmiany lub nieznane logowania, zapewniając bezpieczeństwo naszych systemów.
Usuń
Jak oprogramowanie obsługuje uwierzytelnianie użytkowników?
Stosujemy standard OpenID Connect, który jest powszechnie używany w branży.
UsuńJakie typy ról użytkowników i uprawnień są obsługiwane?
TeamOne definiuje role użytkowników i uprawnienia na poziomie zespołu, tablicy i projektu, zgodnie z opisem w tym artykule.
UsuńCzy dostępne jest uwierzytelnianie wieloskładnikowe?
Tak, uwierzytelnianie wieloskładnikowe (MFA) jest dostępne poprzez włączenie 2FA. Google Authenticator może być używany jako bezpieczny mechanizm uwierzytelniania. Zobacz, jak włączyć 2FA w swoim koncie myViewBoard.
UsuńJak szyfrowane są wrażliwe dane podczas transmisji i przechowywania?
Wszystkie dane są szyfrowane podczas transmisji za pomocą HTTPS, a wrażliwe dane są szyfrowane w magazynie za pomocą szyfrowania AWS RDS.
UsuńJakie algorytmy i protokoły szyfrowania są używane?
Używamy HTTPS z TLS 1.3 do szyfrowania transmisji danych oraz RDS AES256 do szyfrowania danych w magazynie.
UsuńCzy istnieją praktyki zarządzania kluczami szyfrowania?
Tak, zarządzanie kluczami szyfrowania odbywa się za pomocą AWS Key Management Service (KMS).
UsuńJak oprogramowanie obsługuje poprawki bezpieczeństwa i aktualizacje?
TeamOne stosuje DevSecOps do aktualizacji bezpieczeństwa, integrując DAST (Dynamic Application Security Test), testy automatyczne i ciągłe wdrażanie, aby zapewnić solidne i aktualne środki bezpieczeństwa.
UsuńCzy istnieje proces rozwiązywania podatności wykrytych podczas fazy beta?
Poprzez integrację DevSecOps, podatności wykryte w fazie beta są rozwiązywane za pomocą SAST (Statyczne testowanie bezpieczeństwa aplikacji)/przeglądu koleżeńskiego podczas fazy rozwoju oraz DAST i testów zespołu czerwonego w fazie wdrożenia, kładąc nacisk na proaktywne bezpieczeństwo we wszystkich fazach w celu skutecznego ograniczenia ryzyka.
UsuńJak często przeprowadzane są skanowania i oceny bezpieczeństwa?
Skanowanie bezpieczeństwa kodu odbywa się przy każdym buildzie, a skanowania i oceny bezpieczeństwa są przeprowadzane co pół roku.
UsuńJakie mechanizmy są stosowane do kontrolowania dostępu do wrażliwych funkcji lub danych?
TeamOne priorytetowo traktuje ścisłą kontrolę dostępu, wykorzystując kontrolę dostępu opartą na rolach (RBAC) do precyzyjnego zarządzania uprawnieniami, w połączeniu z zaporą aplikacji internetowej (WAF) w celu wzmocnienia ochrony przed nieautoryzowanym dostępem, zapewniając solidne bezpieczeństwo dla Twoich wrażliwych informacji.
UsuńCzy istnieje wsparcie dla kontroli dostępu opartej na rolach (RBAC)?
TeamOne wprowadza kontrolę dostępu opartą na rolach na poziomie zespołu, tablicy i projektu, zgodnie z opisem w tym artykule.
UsuńCzy dostęp może być ograniczony na podstawie adresu IP lub lokalizacji geograficznej?
Chociaż dostęp może być ograniczony na podstawie adresu IP lub lokalizacji geograficznej, funkcja ta nie jest obecnie wdrożona. Technicznie jest to możliwe w zależności od wymagań. Na przykład w profilu zespołu administrator mógłby wprowadzić określone adresy IP lub regiony, aby ograniczyć dostęp. Jednak jednym z ryzyk jest możliwość błędnego wprowadzenia adresu IP przez administratora, co mogłoby prowadzić do problemów, jeśli nie można go poprawić.
UsuńCo dzieje się z członkami zespołu, którzy opuścili organizację (nieaktywne konta), co dzieje się z ich tablicami?
Administrator zespołu ma uprawnienia do przypisania innego administratora do zarządzania zespołem. Inni użytkownicy w tym samym zespole nadal mogą uzyskać dostęp do tablic, umożliwiając ciągły dostęp dla członków zespołu.
UsuńCzy oprogramowanie zapewnia kompleksowe rejestry audytów?
Kompleksowe rejestry audytów dla celów klientów nie są obecnie zaprojektowane. Jednak wszystkie rejestry transakcji mogą być śledzone w okresie 7 dni.
UsuńJakie działania są rejestrowane i czy rejestry mogą być bezpiecznie przechowywane i analizowane?
Wszystkie działania są rejestrowane, a rejestry są szyfrowane za pomocą AES256 przy użyciu zabezpieczonego klucza szyfrowania.
UsuńJak zabezpieczane są komunikacje między klientami a serwerami?
TeamOne zabezpiecza komunikację klient-serwer za pomocą HTTPS do szyfrowania, zapór aplikacji internetowych (WAF) do obrony przed zagrożeniami, ścisłych kontroli dostępu oraz szyfrowania danych zarówno podczas transferu, jak i przechowywania, zapewniając solidną ochronę Twoich informacji.
UsuńCzy Transport Layer Security (TLS) jest używany do szyfrowania?
Tak, TeamOne używa TLS 1.3 do szyfrowania Transport Layer Security (TLS).
UsuńCzy istnieją protokoły zapobiegające atakom typu man-in-the-middle?
Aby zapobiec atakom typu man-in-the-middle, TeamOne wykorzystuje protokół HTTPS, zapewniając bezpieczną i szyfrowaną komunikację. Dodatkowo stosowane są zapory aplikacji internetowych (WAF) do obrony przed zagrożeniami oraz rygorystyczne kontrole dostępu w celu ochrony danych w tranzycie i magazynie.
UsuńCzy oprogramowanie jest zgodne z odpowiednimi regulacjami dotyczącymi prywatności danych (np. GDPR, HIPAA)?
TeamOne jest zgodny z regulacjami GDPR, zgodnie z naszą polityką prywatności dostępną pod adresem https://TeamOne.viewsonic.com/legal/privacy-policy.
UsuńJak są obsługiwane i chronione dane osobowe?
TeamOne nie zbiera bezpośrednio danych osobowych. Zamiast tego wykorzystuje konto ViewSonic jako dostawcę tożsamości, aby zapewnić zwiększone bezpieczeństwo Twoich danych osobowych. Jako aplikacja, TeamOne nie przechowuje ani nie ma bezpośredniego dostępu do Twoich danych osobowych. Wszystkie informacje osobiste pozostają w systemie konta ViewSonic, a TeamOne uzyskuje do nich dostęp tylko za pomocą tokena o ograniczonym czasie ważności w celu zarządzania kontrolą dostępu.
UsuńCzy istnieją mechanizmy umożliwiające użytkownikom kontrolowanie ustawień prywatności danych?
TeamOne udostępni menu ustawień, w których użytkownicy będą mogli dostosować swoje dane prywatności, w tym przeglądać swoje informacje i edytować ustawienia prywatności. Te ustawienia będą dostępne poprzez ustawienia konta lub pulpit prywatności.
UsuńCo się dzieje, jeśli użytkownicy beta nie subskrybowali i gdzie/jak ViewSonic przechowuje ich dane?
Ci użytkownicy beta zostaną zdegradowani do indywidualnego darmowego planu, a ich tablice nadal będą dostępne. TeamOne wykorzystuje AWS jako naszego dostawcę wsparcia, zapewniając standardy przemysłowe dla transakcji i danych. Dane tablic użytkowników będą znajdować się w tym samym regionie, który został wybrany w koncie ViewSonic.
UsuńCzy TeamOne posiada jakiekolwiek certyfikaty bezpieczeństwa?
Chociaż TeamOne obecnie nie posiada żadnych certyfikatów bezpieczeństwa, ViewSonic utrzymuje certyfikat ISO 27001 w dobrym stanie. Dodatkowo nasz dostawca hostingu AWS przestrzega większości standardów bezpieczeństwa w branży.
UsuńCzy mogę zażądać usunięcia mojego konta i danych w TeamOne?
Jeśli potrzebujesz całkowicie usunąć swoje dane, wykonaj jedną z poniższych czynności:
-
Dla użytkowników jednostek:
Skontaktuj się ze swoim administratorem systemu i poproś go o usunięcie konta. -
Dla użytkowników indywidualnych:
Przejdź do strony Ustawienia konta tutaj, aby usunąć swoje konto:
W przypadku problemów z usunięciem danych prosimy o przesłanie zgłoszenia do pomocy technicznej tutaj, a nasz specjalista pomoże:
UsuńKto może uzyskać dostęp do moich danych w TeamOne?
Poprzez wdrożenie praktyk DevSecOps, TeamOne zabrania jakimkolwiek deweloperom operacyjnego „dotykania” bazy danych produkcyjnej. Dodatkowo, zgodnie z wcześniej zdefiniowanymi rolami, nikt nie powinien bezpośrednio uzyskiwać dostępu do żadnych danych produkcyjnych w ViewSonic.
UsuńJaki jest proces reagowania na incydenty bezpieczeństwa lub naruszenia?
Obsługa incydentów dla TeamOne odbywa się zgodnie z wytycznymi zawartymi w myViewBoard Security Whitepaper.
UsuńCzy istnieje wyznaczony zespół ds. bezpieczeństwa odpowiedzialny za reakcję na incydenty?
Zespół ds. bezpieczeństwa TeamOne dokumentuje wszystkie kroki odzyskiwania podjęte podczas incydentów i przedstawia je jako studia przypadków w celu uzyskania wskazówek i zapobiegania. Szczegółowe zadania i rejestry zebrane podczas procesu obsługi incydentów będą wymienione w wewnętrznym katalogu TeamOne, udostępnionym wyłącznie wewnętrznemu zespołowi ds. rozwoju oprogramowania. Wszystkie zgłoszone problemy będą również wymienione w naszym wewnętrznym katalogu i udostępnione zespołowi bez żadnych danych identyfikujących klientów.
UsuńCzy klienci są szybko powiadamiani w przypadku incydentu bezpieczeństwa?
Klienci są szybko powiadamiani w zależności od powagi, rodzaju i wpływu incydentu bezpieczeństwa. W razie potrzeby powiadomienia są wysyłane e-mailem, aby zapewnić terminową komunikację.
UsuńCzy w oprogramowaniu są używane jakiekolwiek biblioteki lub komponenty zewnętrzne?
Tak, TeamOne wykorzystuje biblioteki zewnętrzne, które są poddawane rygorystycznej analizie przez nasze narzędzie SAST wyposażone w inteligentną analizę składu oprogramowania (SCA), aby zapewnić ich bezpieczeństwo przed integracją.
UsuńJak zarządzane są zależności i czy są regularnie aktualizowane pod kątem poprawek bezpieczeństwa?
TeamOne wykorzystuje DevSecOps do zarządzania zależnościami i regularnie je aktualizuje pod kątem bezpieczeństwa. Przeprowadzamy Dynamic Application Security Testing (DAST) i testy zespołu czerwonego podczas wdrożenia w celu dokładnej weryfikacji bezpieczeństwa, zapewniając ciągłą ochronę.
UsuńCzy oprogramowanie posiada system alertów bezpieczeństwa? System ten powinien szybko powiadamiać o wszelkich nieprawidłowych działaniach wykrytych na Twoich systemach komputerowych (takich jak nieautoryzowane zmiany lub nieznane logowania).
TeamOne wykorzystuje zaporę aplikacji internetowej (WAF) wraz z kontrolą dostępu opartą na rolach, aby szybko wykrywać i reagować na nieprawidłowe działania, takie jak nieautoryzowane zmiany lub nieznane logowania, zapewniając bezpieczeństwo naszych systemów.
Usuń