אבטחה ב-Tepez

מצאת פרצת אבטחה?

בבקשה צור איתנו קשר בהקדם ב-security@tepez.co.il. אנחנו מבטיחים לענות מהר ולעדכן אותך על הטיפול בפרצה.

בבקשה אל תפרסם את הפרצה לפני שהודענו לך שהיא תוקנה.

תקן ISO 27001 ומבדקתי חדירה תקופתיים

חברת טפז מוסמכמת לתקן ISO 27001 ע"י מכון התקנים. כמו כן אנו עוברים בדיקות חדירות אחת לשנה.

אבטחה של הענן

כל השרתים והתשתיות של Tepez נמצאים בענן של Amazon Web Services (AWS), ספקית תשתיות הענן הגדולה בעולם. AWS מתייחסת לאבטחה ברצינות רבה ועומדת בתקני אבטחה מחמירים. ניתן לקרוא על כך עוד בפורטל האבטחה של AWS.

גיבוי

כל נתון שנשמר במערכות Tepez נשלח לגיבוי לפחות פעם אחת ביום. אנחנו מחזיקים חשבון AWS נוסף, שהגישה אליו היא רק באמצעות MFA ובו אנו שומרים עותק מהגיבוי.

אנחנו לעולם לא מוחקים רטרואקטיבית נתונים מהגיבויים, גם כשהם נמחקים ע"י המשתמש, כדי שתמיד נוכל לשחזר אותם אם המחיקה בוצעה בטעות או בזדון.

תקשורת

כל תקשורת הנתונים עם Tepez נעשית תמיד בצורה מוצפנת ע"י SSL. כמשתמש קצה, תוכל לראות זאת בשורת הכתובת בדפדפן. פרוטוקול התקשורת הוא HTTPS ומרבית הדפדפנים מציגים סימן של מנעול ירוק. כשמדובר על תקשורת שאינה כוללת העברת נתונים, כמו גישה לאתר או לממשק הניהול של המערכת אנו מעבירים אוטומטית כל נסיון תקשורת שנעשה עם HTTP ל-HTTPS. כשמדובר על תקשורת הכוללת העברת של נתונים, כמו גישה אל ה-API, אנו מחזירים שגיאת 403 עבור כל בקשה שאינה נשלחת ב-HTTPS. זאת כדי למנוע העברה של נתונים ללא הצפנה.

אנחנו מקפידים לעדכן את הגדרות השרתים שלנו בהתאם לגילויים החדשים בעולם באבטחת המידע ע"י סריקה יומית של כל השרתים שלנו עם Qualys SSL Labs. ניתן לראות את תוצאות הסריקות האחרונה כאן:

• תוצאות עבור api.tepez.co.il
• תוצאות עבור contrib-api.tepez.co.il

עבור שרתי תוכן בלבד (שמידע אינו עובר בהם באף שלב) הציון יהיה B במקום A משום שאנו מאפשרים גישה עם TLS1.1 אליהם:

• תוצאות עבור www.tepez.co.il
• תוצאות עבור app.tepez.co.il

ניתור ובקרה

אנחנו מפעילים מספר כלים לניתור ובקרה של התקשורת עם Tepez כדי שנוכל להגיב במהירות במקרה של התקפה. כל התקשורת עם שרתי Tepez מתועדת ומאוחסנת בארכיון.

חתימה דיגיטלית

קובצי ה-PDF המופקים במערכת Tepez חתומים דיגיטלית. אמצעי זה מאפשר להוכיח שקובץ אכן הופק ממערכת Tepez במועד מסויים והוא לא שונה מאז. אנחנו מפעילים רשות חיתום (Certificate authority) עבור כל החתימות המשמשות את מערכות Tepez. כמשתמש קצה, מומלץ להוריד את חתימת השורש (Root certificate) של Tepez או את חתימת הביניים (intermediate certificate) ולהוסיפן לרשימת החתימות המאושרות ע"י קורא ה-PDF שלך. רשימות החתימות המבוטלות של חתימת השורש ושל חתימת הביניים מעודכנות אחת ליום.

מניעת התחזות באימיילים

אנחנו משתמשי בכל הכלים המקובלים כדי למנוע זיוף של אימיילים, שיראו כאילו נשלחו ממערכת Tepez, או שינוי התוכן של אימיילים שנשלח על ידינו:

• רשומת ה-SPF של הדומיין מאפשרת שליחה של אימיילים רק משרתי Google או AWS SES.
• כל אימייל שנשלח נתחם דיגיטלית באמצעות DKIM.
• רשומת ה-DMARC של הדומיין מבקשת משרתי דואר לדחות כל אימייל שלא נחתם כנדרש ולשלוח לנו דיווח.

צרו קשר

בכל שאלה, חשש או הערה בנוגע לאבטחה ב-Tepez אתם מומזנים ליצור איתנו קשר ב-security@tepez.co.il.