Levering af sikkerhedstjenester
-
Log4j/Log4Shell-opdatering
Vores team er klar over den nylige sårbarhed i Javas Log4j-logningssystem. NutshellVores infrastruktur har minimal eksponering for Java, og da vi hørte om sårbarheden, foretog vi en gennemgang af vores systemer. Vi har ikke identificeret noget system, der kører en berørt version af Log4j, herunder vores Solr- og Jenkins-infrastruktur.
Vi fortsætter med at gennemgå vores systemer for at sikre sikkerheden af dine data, og vi vil fortsætte med at overvåge branchens sikkerhedslister for problemer som dette.
-
Altid krypteret
Vi bruger 256-bit TLS 1.2-kryptering i bankkvalitet, hver gang du tilgår din Nutshell -konto, uanset om det er via internettet eller vores mobilapplikationer. Dine data er krypteret i hvile i vores databaser.
-
Kontinuerlig sikkerhedskopiering
Alle data replikeres straks til flere servere. Vi tager også snapshots to gange dagligt, ugentligt og månedligt. Overvågningstjenester fra tredjeparter sender straks besked til vores team om eventuelle problemer. Se live tilgængelighedsopdateringer på status.nutshell.com.
-
Beskyttede finansielle data
Vi bruger en PCI-kompatibel udbyder til sikkert at gemme dine faktureringsoplysninger. Kreditkortoplysninger gemmes ikke på vores servere.
-
Sikrede adgangskoder
Adgangskoder er krypteret envejs og kan ikke tilgås af Nutshell personale.
-
Vellykket CASA-vurdering
Vi har gennemført en CASA-vurdering (Cloud Application Security Assessment) af vores webapplikation, som bekræfter, at vi lever op til de sikkerhedskrav, der er fastsat af App Defense Alliance (ADA).
Kravene omfatter tilpasning til branchens førende sikkerhedsrammer og mangel på fund i forbindelse med CWE'er (Common Weakness Enumerations) med høj eller middel risiko for udnyttelse.
Og her er detaljerne til de professionelle sikkerhedsfolk:
Netværkssikkerhed
Vores ingeniørteam har erfaring med at håndtere petabytes af data sikkert og holdbart. Vi tager følgende skridt for at holde dine data sikre i hvile, og når de overføres til netværk.
- Firewalls, VPN'er, moderne Linux-operativsystemer, konservativ netværks- og sikkerhedsgruppekonfiguration
- Kryptering i hvile
- VPN'er til at sikre medarbejdernes adgang og kryptere alle data, der overføres via internetforbindelser.
- Nutshell Adgangskoder er saltede og envejs-hashede. Vores personale kan ikke få adgang til eller se din adgangskode
- Login-sider er beskyttet mod brute-force-angreb
- Vi følger branchens sikkerhedslister og patcher omgående kritiske problemer (vi patchede Heartbleed inden for få timer).
- Vi bruger en datalagringsarkitektur med flere lejere. Kundedata gemmes i separate siloer pr. konto for at isolere og beskytte dine data.
Operationel sikkerhed
Vores supportteam er baseret in-house hos vores tekniske team i Ann Arbor. Vi får kun adgang til din konto med din tilladelse til at fejlfinde supportproblemer. Personalet vil aldrig bede om din adgangskode til Nutshell .
- Alle personalecomputere kører med fuld diskkryptering og stærke adgangskoder.
- Vi begrænser vores interne netværks eksponering for Windows
- Alle medarbejdere på Nutshell modtager en kopi af 1Password på deres første arbejdsdag.
- Kontorerne er sikret med individuel adgang med nøglekort
Økonomisk sikkerhed
Dine kreditkort- og faktureringsoplysninger opbevares sikkert. Vores faktureringsudbyder er PCI-kompatibel og administreres separat fra Nutshell applikationssystemer.
Adgangskoder
Nutshell bruger envejshashing til sikkert at gemme en repræsentation af din adgangskode. Vi kan ikke hente en adgangskode - du skal bruge vores værktøj til glemt adgangskode sammen med din e-mailadresse for at gendanne din adgangskode. Det er dit ansvar at holde din Nutshell e-mailadresse opdateret.
Det er dit ansvar at vælge sikre adgangskoder og at opbevare dem sikkert. Nutshell kan ikke holdes ansvarlig for data, der kompromitteres på grund af en usikker eller stjålet brugeradgangskode. Hvis du autentificerer dig med Nutshell via en tredjepart (f.eks. Google Apps), skal disse adgangskoder også være sikre.
Ansvarlig offentliggørelse
Hvis du er sikkerhedsforsker, eller hvis du mener, at du er stødt på et problem i Nutshell's sikkerhed, bedes du læse følgende noter.
Nutshell tilbyder ikke et bug bounty-program til at betale for rapporter.
Rapporter venligst eventuelle sikkerhedsproblemer til security@nutshell.com. Hvis du har brug for at sende en krypteret besked, kan du finde den på Keybase.
Vi beder om, at du giver os en rimelig tid til at svare på rapporter, før du offentliggør oplysninger.
Undlad venligst at foretage sikkerhedsundersøgelser, der kan resultere i ødelæggelse af data, afbrydelse eller forringelse af tjenesten. Dette omfatter brug af automatiserede værktøjer eller scannere: De vil sandsynligvis medføre, at din IP-adresse bliver blokeret.
Vi accepterer ikke rapporter om ansvarlig information om følgende emner:
- Iframe / UI afhjælper problemer relateret til X-Frame-Options headers
- Implementering af HSTS
- Styrke af brugerdefineret adgangskode
- Konfigurationsproblemer med SPF, DKIM og DMARC
- Problemer med brugeroptælling (vi bruger hastighedsbegrænsning til at beskytte vores brugere)
- Tilstedeværelse af banner eller versionsinformation
Taksigelser
Vi har modtaget oplysninger fra mange enkeltpersoner og organisationer for at gøre Nutshell til et mere sikkert sted. Du kan læse om dem her.