האבטחה המובנית והחזקה של Atera נמצאת בלב כל מה שאנחנו עושים — כך שתוכלו להיות בטוחים שהנתונים שלכם תמיד בטוחים ומוגנים.
ציות לתקנים
Atera עומדת בתקן ISO/IEC 27001, 27017, 27018 ו-27032.
ISO/IEC 27001:2013
ISO 27001 הוא תקן אבטחת מידע שפורסם לראשונה ב-2005 על ידי הארגון הבינלאומי לתקינה (ISO) והנציבות הבינלאומית לאלקטרוטכניקה (IEC). בספטמבר 2013 פורסם ISO 27001:2013, שמחליף את התקן המקורי מ-2005. ISO 27001 הוא גישה מוכרת עולמית ומבוססת תקנים לאבטחה, שמגדירה דרישות למערכת ניהול אבטחת מידע (ISMS) בארגון.
ISO/IEC 27017:2015
ISO 27017 הוא תקן אבטחה שפותח עבור ספקי שירותי ענן ומשתמשים, במטרה ליצור סביבה מבוססת ענן בטוחה יותר ולהפחית את הסיכון לבעיות אבטחה.
ISO/IEC 27018:2019
ISO 27018 הוא התקן הבינלאומי הראשון שנוצר במיוחד עבור פרטיות נתונים במחשוב ענן. מטרתו העיקרית, לפי הארגון הבינלאומי לתקינה (ISO), היא לקבוע "מטרות בקרה, בקרות והנחיות מקובלות ליישום אמצעים להגנה על מידע מזהה אישי (PII)".
ISO/IEC 27032:2012
ISO 27032 הוא תקן בינלאומי המספק הנחיות לשיפור מצב הסייבר, תוך הדגשת ההיבטים הייחודיים של פעילות זו ותלותה בתחומי אבטחה נוספים, במיוחד: אבטחת מידע, אבטחת רשת, אבטחת אינטרנט והגנה על תשתיות מידע קריטיות (CIIP).
להורדת האישורים לחצו כאן.
SOC 2 Type 2
Atera מוסמכת בתקן SOC 2 Type 2. הסמכה זו כוללת הערכה קפדנית של יעילות הבקרות התפעוליות שלנו לאורך זמן, כדי להבטיח שהמחויבות שלנו לאבטחת נתונים אינה רק תיאורטית אלא נשמרת באופן עקבי. הסמכה זו משקפת את הגישה הפרואקטיבית של Atera לעמידה ואף מעבר לסטנדרטים המקובלים בתעשייה, ומעניקה ללקוחותינו ביטחון שהמידע הרגיש שלהם מטופל בזהירות ובציות מרביים.
HIPAA
חוק ניידות ואחריות ביטוח בריאות (HIPAA) קובע את הסטנדרט להגנה על נתוני מטופלים רגישים.
Atera קיבלה את חותם הציות ל-HIPAA. אימות זה מאשר את "המאמץ בתום לב" של Atera לעמוד בדרישות החוק והתקנות של HIPAA, ומהווה עדות למחויבותנו לשמירה על רמת האבטחה והפרטיות הגבוהה ביותר.
להורדת תעודת חותם הציות ל-HIPAA של Atera לחצו כאן.
אם אתם לקוחות במסלול Enterprise או Superpower וזקוקים ל-BAA חתום, שלחו בקשה לכתובת success@atera.com ותישלח אליכם טיוטה לחתימה.
לקבלת מכתב חותם הציות, שלחו בקשה לכתובת success@atera.com.
תוכנית ניהול סיכונים והרשאות של טקסס (TX-RAMP)
Atera קיבלה את הסמכת TX-RAMP Level 2. תוכנית ניהול סיכונים והרשאות של טקסס מספקת גישה סטנדרטית להערכת אבטחה, הסמכה וניטור מתמשך של שירותי מחשוב ענן המעבדים נתונים של סוכנויות מדינה בטקסס.
להורדת התעודה לחצו כאן.
PCI-DSS
שירותי המנויים של Atera אינם נדרשים לעמוד בתקן PCI-DSS, כיוון שאיננו מעבדים נתוני כרטיסי אשראי עבור לקוחותינו.
אבטחת מוצר
יומני ביקורת
Atera שומרת יומנים מנהליים וכן יומנים להקמת חשבונות ושינויים, כולל הוספה או הסרה של משתמשים, מקטעים, מקורות ויעדים.
לקוחות Atera יכולים לקבל יומנים של פעולות פנימיות הקשורות לשינויים במצב החשבון שלהם ב-Atera. שינויים נפוצים כוללים פעולות CRUD (יצירה, עדכון, מחיקה) של חשבונות, משתמשי אדמין ועוד.
אימות דו-שלבי
Atera מאפשרת לכם להוסיף בקלות אימות דו-שלבי לתהליך הכניסה לחשבון שלכם, כדי לחזק את אבטחת החשבון.
בקרת גישה מבוססת תפקידים (RBAC)
מנהלי חשבונות לקוחות יכולים להוסיף ולהסיר משתמשים בקלות. ל-Atera יש מגוון תפקידים מוגדרים עם הרשאות מתאימות לכל תפקיד.
העברת נתונים ומפגשים מאובטחים
החיבור לסביבת Atera מתבצע באמצעות פרוטוקולי הצפנה SSL/TLS, תוך שימוש בתעודות גלובליות, כדי להבטיח למשתמשים חיבור מאובטח מהדפדפן לשירות שלנו.
כל מפגש משתמש מזוהה ומאומת מחדש בכל פעולה, באמצעות טוקן ייחודי שנוצר בעת הכניסה.
הגבלת כתובות IP לכניסה ל-Atera
טווחי כתובות IP מורשות מגבילים גישה לא מורשית בכך שהם מחייבים משתמשים להיכנס ל-Atera מכתובות IP מוגדרות מראש — בדרך כלל רשת החברה, רשתות לקוח ייעודיות או VPN. באמצעות טווחי כתובות IP, מנהלים יכולים להגדיר אילו כתובות IP מורשות לגשת ל-Atera. מי שמנסה להיכנס מחוץ לטווחים המוגדרים לא יקבל גישה.
אבטחת סוכן
לאחר פריסת סוכן, מוקצה לו מפתח ייחודי. מפתח זה משמש לאימות. כל התקשורת בין הסוכנים לענן של Atera מאומתת באמצעות מפתח זה ומבוצעת באמצעות SSL/TLS.
מנהור שליטה מרחוק
בעת שימוש בכלי השליטה מרחוק של Atera, נוצר מנהור וירטואלי בין המשתמש של Atera למחשב היעד. כל הנתונים המועברים בין המשתמש לסוכן מוצפנים. גם המשתמש וגם הסוכן מתחברים רק דרך פורט TCP 443.
אבטחת נתונים
הצפנת נתונים במנוחה
הנתונים מוצפנים במנוחה באמצעות AES-256.
הצפנת נתונים בתעבורה
אנחנו מצפינים נתונים בתעבורה באמצעות HTTPS/TLS. הגרסה הנתמכת כיום היא TLS 1.2 ומעלה.
הצפנת סיסמאות
הסיסמאות של חשבונות המשתמשים מוצפנות ומגובבות באמצעות אלגוריתם SHA 256.
פרטיות
מדיניות פרטיות
מדיניות הפרטיות של Atera מתארת כיצד אנו אוספים, משתמשים ומטפלים במידע אישי כאשר אתם משתמשים בפלטפורמה, באתר/ים, באפליקציה/ות, בתוכנת ניתוח נתונים ובשירותים נוספים שלנו.
לעיון במדיניות הפרטיות שלנו לחצו כאן.
בינה מלאכותית אחראית
Atera מחויבת לשמור על אמון ופרטיות לקוחותיה ולפיתוח אחראי של פתרון הבינה המלאכותית שלנו.
הקלטים, הפלטים, ההטמעות ותוכן בסיס הידע (KB) שלכם אינם נגישים ללקוחות אחרים, ואינם משמשים לאימון האלגוריתמים של Atera או Azure OpenAI, או כל מוצר של Microsoft או צד שלישי. לעיון בעקרונות הבינה המלאכותית האחראית שלנו לחצו כאן.
GDPR
Atera מחויבת לפרטיותכם, וככל שנדרש, פועלת בהתאם לתקנות הגנת המידע הכלליות של האיחוד האירופי (GDPR). למידע נוסף על Atera ו-GDPR, עיינו בהודעת המודעות שלנו בכתובת https://www.atera.com/gdpr-awareness-notice/
נספח עיבוד נתונים
אנו מתייחסים לעיבוד נתונים בתנאי הסכם השירות שלנו ומציעים נספח עיבוד נתונים ללקוחותינו.
לבקשת DPA, אנא פנו לכתובת: success@atera.com
בקשות להסרת נתונים
לקוחות יכולים לבקש הסרת נתונים על ידי פנייה לתמיכת הפרטיות של Atera. כל בקשה להסרת נתונים שמתקבלת מנושא נתונים הקשור ללקוח תועבר ללקוח הרלוונטי.
לכל שאלה, בקשה או למימוש זכויותיכם בנושא הגנת מידע, פנו לכתובת: privacy@atera.com
ממונה הגנת מידע (DPO)
ממונה הגנת המידע שמונה על ידינו אחראי לוודא שכל אמצעי ההגנה על המידע שלנו מעודכנים וכל הנהלים מיושמים. ה-DPO עובד עם אנשי מקצוע מנוסים בתחום האבטחה (CISO, CISM, CRISC, CISSP, CISA, CIPM, CEH, CIPPE, CDPSE).
ניהול ותגובה לאירועים
הודעה על פרצת מידע
במקרה של פרצת אבטחת מידע בפועל או חשד סביר לאירוע כזה, או כל אירוע אחר המשפיע על אבטחת או שלמות הנתונים שלכם, Atera תפעל לפי הנהלים המוגדרים בתוכנית התגובה לאירועי אבטחת מידע של החברה ותודיע לכם בהתאם לחוק החל.
תוכנית תגובה לאירועים (IRP)
Atera מפעילה תהליך ניהול אירועי אבטחה רשמי בהתאם למדיניות ונהלים רלוונטיים. קיימים נהלי הסלמה להבטחת תקשורת מהירה של כל אירוע אבטחה בשרשרת הניהול וללקוחות שנפגעו, ללא עיכוב מיותר.
זמינות ואמינות
Atera עושה שימוש בתשתית Microsoft Azure, שנבנתה להיות אחת מסביבות הענן הגמישות, האמינות והמאובטחות ביותר כיום, ומאפשרת ללקוחותינו ליהנות מתשתית נתונים זו.
התשתית שלנו מחולקת למספר מתקנים גאוגרפיים נפרדים במרכזי נתונים שתוכננו לאבטחה וזמינות מרבית. כל המיקומים פועלים לפי מיטב הנהלים בתעשייה, כולל מערכות כניסה עם תג וביומטריה, מקורות חשמל נוספים, מערכות מיזוג נוספות ומערכות כיבוי אש. צוותי אבטחה ומצלמות מאבטחים את המתקנים 24/7, 365 ימים בשנה. רק עובדים מורשים רשאים להיכנס למרכזי הנתונים וכל ביקור מתועד.
עיצבנו את סביבת איסוף הנתונים של שירות המנויים שלנו לזמינות גבוהה — לא פחות מ-99.75%.
הגדלה אוטומטית (Auto-scaling)
אנו מאפשרים הגדלה אוטומטית בענן.
התשתית בענן של Atera יכולה להתרחב כדי לעבד נתונים ממיליוני מכשירים. הגדלה אמיתית בענן מושגת על ידי הגדלה אוטומטית של התשתית, ללא השפעה על המשתמשים הקצה שכותבים או ניגשים לנתונים.
הגנה מפני התקפות מניעת שירות (DoS)
Atera פרסה את שירותי האבטחה של Cloudflare עבור חומת אש לאפליקציות אינטרנט, הגנה מפני התקפות מניעת שירות ורשת הפצת תוכן (CDN).
יתירות תשתית
שירותי Atera נפרסים כך שייהנו מהיתירות של תשתית Microsoft Azure.
בדיקות הבטחת איכות
Atera פועלת לפי תהליך ניהול שינויים עבור שינויים בסביבת הייצור. כל שינוי קוד עובר בדיקת עמיתים וכולל בדיקות אוטומטיות של יחידות, פונקציונליות ואבטחה. בדיקות מתבצעות לאחר פריסה כדי לוודא את תקינות האפליקציה. אם הבדיקה נכשלת, האפליקציה חוזרת לגרסה הקודמת.
ניטור שירות
Atera עושה שימוש ב-Azure Log Analytics ו-Application Insights לניטור המערכות שלה ולאיתור בעיות שירות. צוות Atera מקבל התראות 24/7 כאשר ערכי הסף נחצים.
אבטחה ארגונית
הסכמי סודיות
הסכמי השירות שלנו מאפשרים טיפול סודי במידע הלקוח, כולל נתוני לקוחות. אנו דורשים מכל העובדים, הקבלנים והספקים שלנו לחתום על הסכמי סודיות כדי להבטיח הגנה מלאה על מידע סודי.
הדרכת אבטחה לעובדים
כל עובד חדש עובר הדרכה על חובותיו בנושאי סודיות, פרטיות ואבטחת מידע כחלק מההכשרה הראשונית. הדרכת אבטחה ופרטיות שנתית חובה מבטיחה רענון ידע והבנה. צוותי הפיתוח מקבלים הדרכות נוספות בהתאם לתפקידם והרשאותיהם.
נעילה אוטומטית של עמדות עבודה
עמדות העבודה של העובדים שלנו ננעלות אוטומטית לאחר פרק זמן מוגדר של חוסר שימוש, באמצעות מערכת MDM שהטמענו.
הצפנת עמדות עבודה של עובדים
כל עמדות העבודה של העובדים מוצפנות ומנוקות בעת הוצאתן משימוש לפי תקני DoD.
גישה מוגבלת לעובדים (עקרון המינימום ההכרחי)
Atera פועלת לפי עקרון "המינימום ההכרחי" בניהול גישת עובדים למערכות. הגישה לנתוני לקוחות מוגבלת לצרכים עסקיים לגיטימיים בלבד, כולל פעולות תמיכה בשירות.
חשבונות רשת ממופים ישירות לעובדים באמצעות מזהה ייחודי; לא נעשה שימוש בחשבונות אדמין גנריים. אנו מבצעים בדיקות תקופתיות של הרשאות עובדים כדי לוודא שהן תואמות לתפקידם הנוכחי.
קיים תהליך פורמלי להודעה על סיום העסקה, שמנוהל על ידי משאבי אנוש ("HR"). עם קבלת הודעה ממשאבי אנוש, כל הגישות הפיזיות והמערכתיות מבוטלות מיידית.
בקרת גישה פיזית
Atera יישמה בקרות מתאימות להגבלת גישה פיזית למשרדיה.
ספקי שירותי הענן שלנו יישמו אמצעי אבטחה מתקדמים לשליטה בגישה הפיזית למתקני עיבוד הנתונים בהם אנו משתמשים.
גישה מרחוק מאובטחת לרשת
עמדות העבודה של עובדי Atera משתמשות בבקרות Zero Trust כדי לספק הצפנה מקצה לקצה, אבטחה בשכבות וניהול זהויות עם אימות דו-שלבי (MFA), במטרה להבטיח חיבור פרטי ומאובטח הן לאינטרנט והן למשאבים הקשורים לעבודה ב-Atera.
כל החיבורים מרחוק מנוטרים באופן קבוע, והעובדים מקבלים התראה אם הם מתנתקים מהרשת או אם מתקבלת התראה אבטחתית אחרת.
אחסון והעברת נתונים מאובטחים
כדי להבטיח שהנתונים נשמרים, מתקבלים ומועברים בין עמדות העבודה בצורה מאובטחת, עובדי Atera משתמשים בכספות.
מנהל סיסמאות
Atera מבינה את החשיבות של ניהול סיסמאות משתמשים ויישמה מערכת ניהול סיסמאות מאובטחת בכל החברה, כדי להגן ולנהל את הסיסמאות של העובדים ושל הארגון.
המשכיות עסקית
תוכנית המשכיות עסקית
Atera יישמה מדיניות משולבת להמשכיות עסקית והתאוששות מאסון, ומתחזקת תוכניות רלוונטיות בהתאם למדיניות זו. למידע נוסף בנושא זה, ראו את הסעיף 'תוכנית התאוששות מאסון'.
תוכנית התאוששות מאסון
Atera מתחזקת יכולות חיוניות למניעת אסונות, מוכנות והתאוששות באמצעות שימוש במספר מרכזי נתונים המפוזרים גאוגרפית, ארכיטקטורת הפלטפורמה שלנו, גיבוי נתונים מחוץ לאתר ויכולות גישה מרחוק. בנוסף, אנו מתחזקים מדיניות ותוכניות להמשכיות עסקית והתאוששות מאסון, ובודקים אותן באופן קבוע.
גיבוי נתונים
Atera מאחסנת את כל נתוני הלקוחות במערכות האחסון של Microsoft Azure, תוך שימוש בגיבויים חמים המאוחסנים במתקני Azure מאובטחים, מחוץ לאתרי הייצור. הגישה למדיות הגיבוי מוגבלת מאוד.
הגנות סביבתיות
Atera מאחסנת את הנתונים והאפליקציה שלה על גבי Microsoft Azure, עבור סביבת התשתית בייצור.
Azure עושה שימוש באמצעי ההגנה המפורטים כאן וכולל גם:
בקרת גישה ואבטחה פיזית
- אבטחה מאוישת 24/7, כולל סיורים רגליים ובדיקות היקפיות
- סריקת ביומטריה לצורך גישה
- חדרי מרכז נתונים עם קירות בטון ייעודיים
- ציוד מחשוב בכלובים מפלדה עם בקרת גישה
- מעקב וידאו בכל המתקן וההיקף
- מבנה שתוכנן לעמוד בסיכוני רעידות אדמה, סערות והצפות מקומיות
- מעקב אחר הוצאת נכסים
בקרות סביבתיות
- בקרת לחות וטמפרטורה
- מערכת קירור יתירה (N+1)
חשמל
- הזנת חשמל תת-קרקעית
- מערכות CPS/UPS יתירות (N+1)
- יחידות חלוקת חשמל יתירות (PDUs)
- גנרטורים דיזל יתירים (N+1) עם אחסון דלק באתר
רשת
- כספות בטון לכניסת סיבים אופטיים
- רשתות פנימיות יתירות
- רשת ניטרלית; מחוברת לכל הספקים המרכזיים וממוקמת ליד מרכזי אינטרנט עיקריים
- קיבולת רוחב פס גבוהה
גילוי וכיבוי אש
- VESDA (מערכת גילוי עשן מוקדם במיוחד)
- מערכת כיבוי אש מבוססת מים, עם התראה כפולה, מנגנון כפול, אזורים מרובים וצינורות יבשים
תשתית
Atera מתארחת על גבי הסטנדרט הגבוה ביותר באבטחת ענן: Microsoft Azure.
מרכזי הנתונים של Atera ב-Azure ממוקמים במערב אירופה (אמסטרדם) ובמרכז ארה"ב (איווה).
מרכזי הנתונים של Azure עומדים בסטנדרטים מחמירים של אבטחה פיזית ומאושרים לתקנים ISO 27001, ISO 27017, ISO 27018, ISO 27032, HIPAA, FedRAMP, SOC-1 ו-SOC-2.
ארכיטקטורה מרובת דיירים
Atera מספקת את שירותי המנוי שלה באמצעות ארכיטקטורה מרובת דיירים, כאשר הנתונים של כל חשבון לקוח מופרדים לוגית מחשבונות אחרים. הנתונים מוצפנים במנוחה באמצעות AES-256.
ISO 27001 – מרכז נתונים
מרכזי הנתונים של Microsoft Azure — מאושרים לעמידה בתקני ISO הבאים: ISO 27001:2013, ISO 27017:2015, ISO 27018:2019, ISO 27701:2020.
SOC 2 Type II — מרכז נתונים
מרכזי הנתונים של Microsoft Azure מאושרים לפי עקרונות SOC 2 Type 2 לאבטחה, סודיות, זמינות ופרטיות.
בקרת גישה פיזית – מרכז נתונים
למידע נוסף, ניתן להיכנס לקישור הבא שמפרט עוד על האבטחה של Microsoft סביב תשתית Azure.
https://docs.microsoft.com/he-il/azure/security/fundamentals/physical-security
ארכיטקטורת Zero Trust
Zero Trust (ZT) הוא מונח המתאר סט מתפתח של עקרונות סייבר, שמזיזים את ההגנה מפרמטרים סטטיים מבוססי רשת להתמקדות במשתמשים, נכסים ומשאבים.
Atera מיישמת ארכיטקטורת Zero Trust (ZTA) ומשתמשת בעקרונות Zero Trust בתכנון ובניית התשתית ותהליכי העבודה שלה, כך שלא מוענקת אמון מובנה לנכסים או לחשבונות משתמשים רק על בסיס מיקום פיזי או רשת.
ניהול איומים
בדיקות חדירות
יש לנו ספק אבטחה עצמאי וחיצוני שמבצע בדיקות חדירות ידניות לתשתית ולשירותים הפנימיים והחיצוניים שלנו על בסיס רבעוני. בדיקות ידניות אלו מגובות גם בבדיקות אוטומטיות באמצעות כלים מסחריים שונים, המתבצעות מדי חודש.
אם ברצונכם לקבל עותק של דוח סיכום בדיקת החדירות האחרון של Atera, אנא שלחו בקשה לכתובת success@atera.com. מאחר שנדרש הסכם סודיות (NDA), יש לכלול את שם החברה המלא, כתובת החברה ומקום ההתאגדות.
סריקת פגיעויות
Atera עושה שימוש במספר כלים אוטומטיים לסריקת פגיעויות אבטחה בתשתית ובאפליקציה בתדירות גבוהה. הסריקות מתבצעות על כל בניית קוד ולפני מיזוגי קוד.
בדיקות אבטחת קוד סטטי (SAST)
קוד המקור נסרק באופן קבוע לאיתור פגיעויות לפני העלאתו לסביבת הייצור.
בקשת פרטי לקוחות Atera
הנתונים והפרטיות של לקוחות Atera הם בעלי חשיבות עליונה ומטופלים בהתאם למדיניות הפרטיות שלנו. לכן, Atera אינה יכולה לספק כל מידע על משתמשים או חשבונות ללא צו בית משפט, זימון או הליך משפטי אחר. למידע נוסף, ראו כאן.
רשימת מעבדי משנה של Atera
ניתן למצוא רשימה עדכנית של שמות ומיקומי מעבדי המשנה שמעבדים את המידע האישי של משתמשי לקוחות Atera כאן. למידע נוסף על מעבדי המשנה שלנו, ניתן לעיין ב-DPA שלנו.
