1. База знаний Yva.ai
  2. Безопасность и соблюдение стандартов

Безопасность разработки

Подробно о политике Yva.ai в области СУИБ читайте на нашем сайте:
https://www.yva.ai/ru/isms-policy-rus.

Разработчики на Yva.ai знакомы с топ-10 уязвимостей OWASP и знают, как писать безопасный код на основе внутренних документов по безопасной разработке и документов, которые находятся в открытом доступе в OWASP.

Все процессы и составляющие архитектуры продукта подтверждены на соответствие стандарту ISO / IEC 27001:2013.

Внутренний документ «Secure development policy» разработан специально для нашей команды. Данное положение предназначено для определения и установления порядка управления требованиями информационной безопасности при разработке программного обеспечения в Yva.ai.

В процессе разработки мы используем SonarCloud для автоматического сканирования кода. SonarCloud - это облачный сервис анализа кода, предназначенный для обнаружения проблем с качеством кода на 25 различных языках программирования. Это помогает нам обеспечивать надежность и безопасность кода на постоянной основе.

Перед публикацией продукта с новой функциональностью мы также используем сканер DAST для проверки кода на предмет выявления потенциальных уязвимостей, пропущенных сканером SAST и разработчиками.

Yva.ai разрабатывается с использованием методологии agile (Kanban). Всем разработчикам предоставляется обучение на рабочем месте, включая методы безопасного кодирования и коучинг.

Перед любым выпуском продукта проводится обширное регрессионное тестирование, чтобы убедиться, что программное обеспечение придерживает проектных спецификаций. Наш процесс проверки, тестирования и развертывания кода включает в себя одноранговые проверки кода, автоматизированное и ручное тестирование, а также повторяемый процесс сборки и выпуска. Все программное обеспечение проверено на безопасность.

Среда тестирования для Yva.ai использует тестовые приспособления, которые воспроизводят реальные шаблоны данных. Тесты выполняются в нашей локальной сети разработки. Как среда тестирования, так и среда разработки изолированы от рабочей среды. Мы не используем пользовательские данные в наших локальных средах разработки и тестирования.

Тестирование на проникновение

Yva.ai проходит тестирование на проникновение для оценки безопасности системы.

Результаты наших последних тестирований на проникновение доступны по запросу.

План управления инцидентами

Yva.ai имеет документацию по процедуре управления инцидентами информационной безопасности, предназначенную для определения и установления правил выявления, реагирования, разрешения и анализа причин инцидентов информационной безопасности в Yva.ai.

Yva.ai использует требования GDPR (Act. 33) для процедуры уведомления о нарушении клиенту, использующему наше SaaS-решение.

Планирование непрерывности бизнеса

Yva.ai применяет планирование непрерывности бизнеса, направленное на определение общего подхода к обеспечению непрерывности основного бизнес-процесса в рамках системы управления информационной безопасностью для процессов Yva.ai. Эта документация включает в себя Restore Point Objective и Restore Time Objective для каждого процесса.

Использование брандмауэра веб-приложений

Yva.ai использует Брандмауэр веб-приложений Microsoft Azure для решения SaaS.

Информация о безопасности и управление событиями

Yva.ai использует Microsoft Azure Sentinel для объединения внутренних и внешних событий из разных источников SaaS-решения.